近年來，量子技術發(fā)展迅速。其中，量子計算未來將對現有密碼體系帶來威脅已成為行業(yè)共識。2022年年中，美國通過首部關于防范量子計算攻擊的法案，提出了量子計算對密碼算法的威脅及應對措施。我國“十四五”規(guī)劃也將抗量子攻擊的相關保密通信技術研究列入國家重大科技項目。近期，中國人民銀行下發(fā)的《關于開展深化金融科技應用、推進金融數字化轉型提升工程的通知》中也明確提出“提升金融領域密碼算法抵抗?jié)撛诹孔佑嬎愎舻哪芰Α钡囊?。本文將分析量子計算對銀行密碼算法的威脅，分享工商銀行在應對量子計算威脅方面的思考和實踐，以期為同業(yè)提供參考借鑒。

在銀行系統中，密碼算法廣泛用于身份認證、敏感信息、交易信息的機密性和完整性保護，是銀行信息安全的核心。以一次ATM取款為例，在客戶從插入銀行卡到取出現金的整個過程中，從ATM終端到后端服務器已執(zhí)行了十多次密碼算法，對客戶交易過程進行嚴格保護。當前銀行信息系統使用的密碼算法有對稱密碼算法、非對稱密碼算法和散列算法三類。

對稱算法的加密與解密運算使用相同的密鑰，主要用于敏感數據的加密傳輸及存儲，防止數據明文泄露，在銀行系統中使用較早、應用最廣。早期，對稱算法在合作方交互場景的應用存在短板，使用對稱算法需要雙方通過線下協商交換獲得相同的密鑰，這個過程往往涉及人工操作，管理復雜且密鑰泄露的風險較高。

密碼管理解決方案公司 Nordpass 最近進行的一項研究確定，至少在 30 個國家 / 地區(qū)中，“Samsung”，或者說“samsung”，是最常用的密碼之一。這使全球數百萬用戶的安全受到威脅。

使用最喜歡的智能手機 / 電視 / 家用電器品牌的名稱，比如“Samsung”，作為密碼雖然不算最糟糕的威脅，但這種趨勢在過去幾年中越來越流行?！皊amsung”密碼在 2019 年排名第 198 位，但它的排名也不斷上升，在 2020 年排名第 189 位，在 2021 年排名第 78 位，在去年突破了前 100 名。

使用最多的密碼是“password”，據說被近 500 萬用戶選中。其他經常使用的密碼是“123456”、“123456789”和 “guest”。至于“samsung”，事實證明，它不是網絡上無數用戶采用的唯一基于品牌的密碼。其他品牌，如 Tiffany，Nike 和 Adidas，也很受歡迎。一些汽車愛好者被發(fā)現使用“kia”和“mini”等密碼。

無論人們使用大寫的“Samsung”還是小寫的“samsung”作為密碼，似乎都不會對安全產生多大的區(qū)別影響。根據最近的報告，一個簡單和可預測的密碼可以在不到 1 秒內被解密。而將小寫字母和大寫字母與數字相結合，也會產生不同的結果。一個結合了所有這些元素的 7 位數密碼可能需要 7 秒左右的時間來破解，而一個 8 位數的密碼則需要 7 分鐘左右。

獲悉，該研究公司發(fā)現，由于它們很短，而且只由數字或字母組成，沒有任何大寫字母，大多數常用的密碼可以在 1 秒鐘之內被破解。

當創(chuàng)建新賬戶時，不管是會員賬戶還是其他賬戶，都不應該使用“Samsung”或“samsung”作為密碼，這將是明智的想法，因為這很最容易被預測和破解。過去，可以使用組策略首選項來更新加入域的計算機的本地管理員密碼。在組策略管理控制臺(GPMC)中，右鍵單擊組策略對象(GPO)，然后轉到“計算機配置”>“首選項”>“控制面板設置”>“本地用戶和組”。右鍵單擊右側的打開區(qū)域，然后選擇“ 新建”>“本地用戶”。

在“新建本地用戶屬性”窗口上，您可以將“用戶名”字段更改為Administrator(內置)，但是您會很快注意到，“密碼”和“確認密碼”字段顯示為灰色，并且不能在具有以下功能的任何Management Station上使用已完全修補

2014年5月，Microsoft發(fā)布了有關組策略首選項中存儲的密碼的安全公告MS14-025。這些使用CPassword屬性的密碼使用易于逆轉的加密。這意味著任何有權訪問Sysvol文件夾的用戶(AD中的所有人)都可以拉出任何包含CPasswords的GPO，反轉加密以及學習使用組策略首選項修改的本地帳戶(包括管理員帳戶)的密碼。此外，由于將密碼更改推送到系統的整個組織單位(OU)，因此***者可以立即知道正在從GPO接收設置的所有系統的密碼。

MS14-025安全公告包含一個更新，該更新禁用使用組策略首選項更新本地用戶帳戶密碼以及CPassword的其他用法(例如映射驅動器，服務，計劃的任務和ODBC數據源)的功能。換句話說，請勿使用組策略首選項來管理本地管理員帳戶的密碼。

LAPS介紹

LAPS允許您在加入域的情況下管理本地管理員密碼(隨機，唯一且定期更改)電腦。這些密碼集中存儲在Active Directory中，并且僅限使用ACL的授權用戶使用。使用Kerberos v5和AES從客戶端到服務器的傳輸密碼受到保護。

這個功能實現的是讓加域的客戶端本地administrator賬號密碼隨機化(每一臺都不一樣的復雜隨機密碼)，并且隨機化密碼存儲在AD上可以查詢到，避免***者猜出一臺就等于猜出一片，從客戶端到服務器的傳輸過程采用Kerberos v5和AES保護