提到黑客攻擊,,你會想到什么?一個惡意行為者坐在滿是《黑客帝國》式數(shù)字文本的屏幕前?或是一臺強(qiáng)大的超級計(jì)算機(jī)正試圖入侵整個世界,?事實(shí)上,很多網(wǎng)絡(luò)攻擊可能只涉及一件事——破解你的密碼,。如果有人能獲取你的賬戶密碼,,那根本無需任何花哨的黑客技術(shù),就可以輕松竊取你的數(shù)字資產(chǎn),。
“未知攻,,焉知防”,為更有效地提升安全防護(hù)水平,,組織應(yīng)了解攻擊者如何使用下述8種策略來破解密碼:
01 字典攻擊
在常用密碼攻擊技術(shù)指南中,,“字典攻擊”位居首位。之所以稱之為“字典攻擊”是因?yàn)樗鼤詣訉σ讯x的“字典”中的每個單詞進(jìn)行密碼測試,。當(dāng)然,,這里的字典可不是你在學(xué)校用的那本,而是一個包含最常用密碼組合的小文件,,其中包括123456,、qwerty、password,、iloveyou,、hunter2等等。
研究人員發(fā)現(xiàn),,很多脆弱,、容易破解的密碼長期保持不變,,只是順序略有不同而已。如果你不想別人知道你的密碼,,永遠(yuǎn)不要使用這些經(jīng)常被使用的弱密碼,。
防護(hù)建議:
盡可能使用密碼管理工具,為每個業(yè)務(wù)賬戶設(shè)置一個強(qiáng)大且單一的密碼,。密碼管理器允許用戶將各種密碼安全地存儲在一個數(shù)據(jù)庫中,。然后你就可以為每個系統(tǒng)使用強(qiáng)大、復(fù)雜,、安全的密碼,,同時不用擔(dān)心密碼遺忘。
02 暴力破解
暴力破解(brute force),,又名暴力攻擊,、暴力猜解,從數(shù)學(xué)和邏輯學(xué)的角度,,它屬于窮舉法在現(xiàn)實(shí)場景的運(yùn)用,。當(dāng)攻擊者獲得密碼哈希時,就會使用暴力破解來嘗試登錄用戶賬戶,,即通過利用大量猜測和窮舉的方式來嘗試獲取用戶口令的攻擊方式,。在實(shí)際應(yīng)用中,暴力破解通常有如下四種技術(shù)形態(tài):
Password Guessing(密碼猜測):在不了解賬戶密碼的情況下,,攻擊者可能會在操作過程中通過使用常用密碼字典來猜測登錄密碼,,而無須事先了解系統(tǒng)或環(huán)境密碼。
Password Cracking(密碼破解):當(dāng)獲得憑證材料(例如密碼哈希)時,,攻擊者可能會嘗試解密密碼來恢復(fù)可用的憑據(jù),,例如純文本密碼。
Password Spraying(密碼噴灑):由于使用多個密碼來暴力破解一個賬號可能會導(dǎo)致該賬號被鎖定,,攻擊者可能會針對許多不同賬戶使用單個或少量的常用密碼列表,,以嘗試獲取有效賬戶憑據(jù)。
Credential Stuffing(撞庫):攻擊者可以使用受害者歷史上泄露的數(shù)據(jù)獲得憑據(jù),,通過憑據(jù)重疊來訪問目標(biāo)賬戶。
防護(hù)建議:
更多使用可變的字符組合,,在可能的情況下,,引入額外的符號來增加復(fù)雜性;
在用戶登錄時增加驗(yàn)證碼,,防止通過程序自動枚舉賬戶,;
確保所有類型的驗(yàn)證碼能夠“用后即失效”,防止被重用,;
在用戶登錄中增加對同一IP地址嘗試次數(shù)的限制,;
定期對比數(shù)據(jù)庫存儲的密碼密文值與Top500弱密碼的密文值,。
03 網(wǎng)絡(luò)釣魚
網(wǎng)絡(luò)釣魚并非嚴(yán)格意義上的“黑客攻擊”,但受害者通常會有非常糟糕的結(jié)局,。一般的網(wǎng)絡(luò)釣魚郵件會被發(fā)送給全球各地各種各樣的互聯(lián)網(wǎng)用戶,,這絕對是盜取密碼最流行的方式之一。目標(biāo)用戶會收到一封偽造的電子郵件,,聲稱是來自一個知名組織或企業(yè),。欺詐郵件會強(qiáng)調(diào)緊急性,并突出一個網(wǎng)站鏈接,。這個鏈接實(shí)際上連接到一個虛假的登錄門戶,,只是它們看起來幾乎和合法網(wǎng)站完全一樣。只要受害用戶輸入他們的登錄憑據(jù),,密碼就會暴露,。
研究發(fā)現(xiàn),目前惡意郵件附件的數(shù)量很高,,卡巴斯基僅在2021年就攔截了超過1.48億個惡意附件,。此外,卡巴斯基的反網(wǎng)絡(luò)釣魚系統(tǒng)還攔截了另外2.53億個網(wǎng)絡(luò)釣魚鏈接,。而這只是來自卡巴斯基系統(tǒng)的數(shù)據(jù),,所以實(shí)際釣魚郵件數(shù)量要高得多。
防護(hù)建議:
加強(qiáng)網(wǎng)絡(luò)安全意識培養(yǎng),,對收到的電子郵件永遠(yuǎn)保持懷疑態(tài)度,;
將垃圾郵件過濾器設(shè)置到最高級別;
在可能的情況下,,使用主動白名單,;
在點(diǎn)擊郵件附件之前,使用鏈接檢查器確定電子郵件鏈接是否合法,。
04 社會工程
社會工程的本質(zhì)就是在現(xiàn)實(shí)世界中的網(wǎng)絡(luò)釣魚,。攻擊者通過電話等方式,告訴被攻擊者,,他們是新的辦公室技術(shù)支持團(tuán)隊(duì),,需要其配合提供某些應(yīng)用的密碼進(jìn)行測試或驗(yàn)證。一個毫無戒心的人往往會毫不猶豫地交出密碼,??膳碌氖沁@種情況經(jīng)常發(fā)生。社會工程已經(jīng)存在了幾個世紀(jì),。欺騙他人以進(jìn)入安全區(qū)域是一種常見的攻擊方法,,只有通過教育才能防范。當(dāng)有人稱他們被騙泄露了密碼時,,這通常都是社會工程的結(jié)果,。
防護(hù)建議:
成功的社會工程攻擊在你意識到有問題的時候已經(jīng)完成了,。教育和安全意識是一個核心的緩解策略。同時,,還應(yīng)該避免發(fā)布個人信息,,以免日后被攻擊者用來欺騙。
05 彩虹表(Rainbow Table)攻擊
彩虹表本質(zhì)上是一種破解用戶密碼的輔助工具,,主要是通過建立“明文->密文”對應(yīng)關(guān)系的數(shù)據(jù)庫,,破解時通過密文直接反查明文。舉個簡單的例子:如果將哈希的密文比喻成一把鎖,,暴力破解的方式就是現(xiàn)場制作各種齒輪的鑰匙進(jìn)行嘗試能否開鎖,,這個鑰匙可能需要幾十億幾百億甚至更多,耗費(fèi)的時間無疑非常的長,,還不一定能夠破解,。而彩虹表就是事先做好大量的鑰匙,并將鑰匙按照某種規(guī)律進(jìn)行分組,,每組鑰匙中只需要帶最具特征的一把,,然后用這些特征鑰匙去嘗試開鎖,當(dāng)發(fā)現(xiàn)某把特征鑰匙差一點(diǎn)就能開鎖了,,則當(dāng)場對該鑰匙進(jìn)行現(xiàn)場打磨,,直到能開鎖為止。這樣就會大大縮短找鑰匙開鎖的時間,。
彩虹表可以自己編程來生成,,也可以使用RainbowCrack或Cain等軟件來生成。當(dāng)然,,更簡單的方式是直接購買預(yù)先填充的彩虹表,,其中包含數(shù)百萬個潛在的組合。
防護(hù)建議:
彩虹表提供了廣泛的攻擊潛力,,是非常棘手的問題,。因此,請避免以SHA1或MD5作為密碼哈希算法的任何網(wǎng)站或系統(tǒng),。同時,,可以采用“加鹽(Salt)”措施,即在密碼的特定位置插入特定的字符串,,這個特定字符串就是“鹽”,,加鹽后的密碼哈希串與加鹽前的哈希串完全不同,黑客用彩虹表得到的密碼不再是真正的密碼,。即便黑客知道了“鹽”的內(nèi)容、加鹽的位置,,還需要對函數(shù)進(jìn)行修改,,彩虹表也需要重新生成,,因此加鹽能大大增加彩虹表攻擊的難度。
06 鍵盤記錄
有一種能竊取登錄密碼的惡意軟件工具,。惡意軟件無處不在,,有可能造成巨大的破壞。如果惡意軟件變種帶有鍵盤記錄器,,將有能力破壞你所有的賬戶,。或者,,惡意軟件可以專門針對隱私數(shù)據(jù)或引入遠(yuǎn)程訪問木馬來竊取你的密碼,。
防護(hù)建議:
安裝并定期更新殺毒軟件和防病毒程序;
在下載應(yīng)用程序時,,要仔細(xì)考慮下載來源,;
不要點(diǎn)擊包含捆綁包和更多內(nèi)容的安裝包;
遠(yuǎn)離惡意/流氓網(wǎng)站,,并使用腳本攔截工具攔截惡意腳本,。
07 爬行(Spidering)收集
主流的搜索引擎往往會不斷地派發(fā)爬蟲去瀏覽全網(wǎng),首先找到各種頁面,,然后將頁面上的文本和代碼復(fù)制并儲存在它們巨大的索引服務(wù)器上,,這一過程就叫做爬行。大多數(shù)組織會使用包含公司信息的密碼,。這些信息可以通過公司網(wǎng)站,、社交媒體等途徑獲取。爬行就是從這些來源收集信息以提供單詞列表,,隨后用于執(zhí)行字典攻擊和暴力破解,。
防護(hù)建議:
使用由隨機(jī)字符串組成的強(qiáng)大且唯一的密碼;
確保密碼與你的角色,、業(yè)務(wù),、組織等無關(guān)。
08 肩窺(Shoulder Surfing)
肩窺指使用直接的觀察技術(shù),,站在別人身后,,或越過肩膀探看別人操作進(jìn)而獲取密碼。肩窺是一種獲取密碼的有效方法,,因?yàn)楫?dāng)別人填表,、在ATM機(jī)或POS機(jī)上輸入PIN碼、甚至在地鐵等公共場合用手機(jī)或電腦打字發(fā)消息時,,比較容易站在旁邊觀察,。此外,肩窺也可以通過使用雙筒望遠(yuǎn)鏡或者其它視覺增強(qiáng)設(shè)備來實(shí)現(xiàn)遠(yuǎn)距離觀察。
防護(hù)建議:
當(dāng)輸入密碼時,,要留意周圍的人,,并遮蓋住輸入設(shè)備及按鍵動作。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<