近年來，量子技術(shù)發(fā)展迅速。其中，量子計算未來將對現(xiàn)有密碼體系帶來威脅已成為行業(yè)共識。2022年年中，美國通過首部關(guān)于防范量子計算攻擊的法案，提出了量子計算對密碼算法的威脅及應(yīng)對措施。我國“十四五”規(guī)劃也將抗量子攻擊的相關(guān)保密通信技術(shù)研究列入國家重大科技項目。近期，中國人民銀行下發(fā)的《關(guān)于開展深化金融科技應(yīng)用、推進金融數(shù)字化轉(zhuǎn)型提升工程的通知》中也明確提出“提升金融領(lǐng)域密碼算法抵抗?jié)撛诹孔佑嬎愎舻哪芰Α钡囊?。本文將分析量子計算對銀行密碼算法的威脅，分享工商銀行在應(yīng)對量子計算威脅方面的思考和實踐，以期為同業(yè)提供參考借鑒。

在銀行系統(tǒng)中，密碼算法廣泛用于身份認證、敏感信息、交易信息的機密性和完整性保護，是銀行信息安全的核心。以一次ATM取款為例，在客戶從插入銀行卡到取出現(xiàn)金的整個過程中，從ATM終端到后端服務(wù)器已執(zhí)行了十多次密碼算法，對客戶交易過程進行嚴格保護。當(dāng)前銀行信息系統(tǒng)使用的密碼算法有對稱密碼算法、非對稱密碼算法和散列算法三類。

對稱算法的加密與解密運算使用相同的密鑰，主要用于敏感數(shù)據(jù)的加密傳輸及存儲，防止數(shù)據(jù)明文泄露，在銀行系統(tǒng)中使用較早、應(yīng)用最廣。早期，對稱算法在合作方交互場景的應(yīng)用存在短板，使用對稱算法需要雙方通過線下協(xié)商交換獲得相同的密鑰，這個過程往往涉及人工操作，管理復(fù)雜且密鑰泄露的風(fēng)險較高。

密碼管理解決方案公司 Nordpass 最近進行的一項研究確定，至少在 30 個國家 / 地區(qū)中，“Samsung”，或者說“samsung”，是最常用的密碼之一。這使全球數(shù)百萬用戶的安全受到威脅。

使用最喜歡的智能手機 / 電視 / 家用電器品牌的名稱，比如“Samsung”，作為密碼雖然不算最糟糕的威脅，但這種趨勢在過去幾年中越來越流行?！皊amsung”密碼在 2019 年排名第 198 位，但它的排名也不斷上升，在 2020 年排名第 189 位，在 2021 年排名第 78 位，在去年突破了前 100 名。

使用最多的密碼是“password”，據(jù)說被近 500 萬用戶選中。其他經(jīng)常使用的密碼是“123456”、“123456789”和 “guest”。至于“samsung”，事實證明，它不是網(wǎng)絡(luò)上無數(shù)用戶采用的唯一基于品牌的密碼。其他品牌，如 Tiffany，Nike 和 Adidas，也很受歡迎。一些汽車愛好者被發(fā)現(xiàn)使用“kia”和“mini”等密碼。

無論人們使用大寫的“Samsung”還是小寫的“samsung”作為密碼，似乎都不會對安全產(chǎn)生多大的區(qū)別影響。根據(jù)最近的報告，一個簡單和可預(yù)測的密碼可以在不到 1 秒內(nèi)被解密。而將小寫字母和大寫字母與數(shù)字相結(jié)合，也會產(chǎn)生不同的結(jié)果。一個結(jié)合了所有這些元素的 7 位數(shù)密碼可能需要 7 秒左右的時間來破解，而一個 8 位數(shù)的密碼則需要 7 分鐘左右。

獲悉，該研究公司發(fā)現(xiàn)，由于它們很短，而且只由數(shù)字或字母組成，沒有任何大寫字母，大多數(shù)常用的密碼可以在 1 秒鐘之內(nèi)被破解。

當(dāng)創(chuàng)建新賬戶時，不管是會員賬戶還是其他賬戶，都不應(yīng)該使用“Samsung”或“samsung”作為密碼，這將是明智的想法，因為這很最容易被預(yù)測和破解。過去，可以使用組策略首選項來更新加入域的計算機的本地管理員密碼。在組策略管理控制臺(GPMC)中，右鍵單擊組策略對象(GPO)，然后轉(zhuǎn)到“計算機配置”>“首選項”>“控制面板設(shè)置”>“本地用戶和組”。右鍵單擊右側(cè)的打開區(qū)域，然后選擇“ 新建”>“本地用戶”。

在“新建本地用戶屬性”窗口上，您可以將“用戶名”字段更改為Administrator(內(nèi)置)，但是您會很快注意到，“密碼”和“確認密碼”字段顯示為灰色，并且不能在具有以下功能的任何Management Station上使用已完全修補

2014年5月，Microsoft發(fā)布了有關(guān)組策略首選項中存儲的密碼的安全公告MS14-025。這些使用CPassword屬性的密碼使用易于逆轉(zhuǎn)的加密。這意味著任何有權(quán)訪問Sysvol文件夾的用戶(AD中的所有人)都可以拉出任何包含CPasswords的GPO，反轉(zhuǎn)加密以及學(xué)習(xí)使用組策略首選項修改的本地帳戶(包括管理員帳戶)的密碼。此外，由于將密碼更改推送到系統(tǒng)的整個組織單位(OU)，因此***者可以立即知道正在從GPO接收設(shè)置的所有系統(tǒng)的密碼。

MS14-025安全公告包含一個更新，該更新禁用使用組策略首選項更新本地用戶帳戶密碼以及CPassword的其他用法(例如映射驅(qū)動器，服務(wù)，計劃的任務(wù)和ODBC數(shù)據(jù)源)的功能。換句話說，請勿使用組策略首選項來管理本地管理員帳戶的密碼。

LAPS介紹

LAPS允許您在加入域的情況下管理本地管理員密碼(隨機，唯一且定期更改)電腦。這些密碼集中存儲在Active Directory中，并且僅限使用ACL的授權(quán)用戶使用。使用Kerberos v5和AES從客戶端到服務(wù)器的傳輸密碼受到保護。

這個功能實現(xiàn)的是讓加域的客戶端本地administrator賬號密碼隨機化(每一臺都不一樣的復(fù)雜隨機密碼)，并且隨機化密碼存儲在AD上可以查詢到，避免***者猜出一臺就等于猜出一片，從客戶端到服務(wù)器的傳輸過程采用Kerberos v5和AES保護