2023年08月22日
很多網絡攻擊可能只涉及一件事——破解你的密碼。如果有人能獲取你的賬戶密碼,那根本無需任何花哨的黑客技術,就可以輕松竊取你的數字資產。
"未知攻,焉知防",為更有效地提升安全防護水平,應了解攻擊者如何使用下述8種策略來破解密碼:
1、字典攻擊
在常用密碼攻擊技術指南中,“字典攻擊”位居首位。之所以稱之為“字典攻擊”是因為它會自動對已定義的“字典”中的每個單詞進行密碼測試。當然,這里的字典可不是你在學校用的那本,而是一個包含最常用密碼組合的小文件,其中包括123456、qwerty、password、iloveyou、hunter2等等。
研究人員發現,很多脆弱、容易破解的密碼長期保持不變,只是順序略有不同而已。如果你不想別人知道你的密碼,永遠不要使用這些經常被使用的弱密碼。
防護建議:
盡可能使用密碼管理工具,為每個業務賬戶設置一個強大且單一的密碼。密碼管理器允許用戶將各種密碼安全地存儲在一個數據庫中。然后你就可以為每個系統使用強大、復雜、安全的密碼,同時不用擔心密碼遺忘。
2、暴力破解
暴力破解(brute force),又名暴力攻擊、暴力猜解,從數學和邏輯學的角度,它屬于窮舉法在現實場景的運用。當攻擊者獲得密碼哈希時,就會使用暴力破解來嘗試登錄用戶賬戶,即通過利用大量猜測和窮舉的方式來嘗試獲取用戶口令的攻擊方式。在實際應用中,暴力破解通常有如下四種技術形態:
Password Guessing(密碼猜測):在不了解賬戶密碼的情況下,攻擊者可能會在操作過程中通過使用常用密碼字典來猜測登錄密碼,而無須事先了解系統或環境密碼。
Password Cracking(密碼破解):當獲得憑證材料(例如密碼哈希)時,攻擊者可能會嘗試解密密碼來恢復可用的憑據,例如純文本密碼。
Password Spraying(密碼噴灑):由于使用多個密碼來暴力破解一個賬號可能會導致該賬號被鎖定,攻擊者可能會針對許多不同賬戶使用單個或少量的常用密碼列表,以嘗試獲取有效賬戶憑據。
Credential Stuffing(撞庫):攻擊者可以使用受害者歷史上泄露的數據獲得憑據,通過憑據重疊來訪問目標賬戶。
防護建議:
更多使用可變的字符組合,在可能的情況下,引入額外的符號來增加復雜性;
在用戶登錄時增加驗證碼,防止通過程序自動枚舉賬戶;
確保所有類型的驗證碼能夠“用后即失效”,防止被重用;
在用戶登錄中增加對同一IP地址嘗試次數的限制;
定期對比數據庫存儲的密碼密文值與Top500弱密碼的密文值。
3、網絡釣魚
網絡釣魚并非嚴格意義上的“黑客攻擊”,但受害者通常會有非常糟糕的結局。一般的網絡釣魚郵件會被發送給全球各地各種各樣的互聯網用戶,這絕對是盜取密碼最流行的方式之一。目標用戶會收到一封偽造的電子郵件,聲稱是來自一個知名組織或企業。欺詐郵件會強調緊急性,并突出一個網站鏈接。這個鏈接實際上連接到一個虛假的登錄門戶,只是它們看起來幾乎和合法網站完全一樣。只要受害用戶輸入他們的登錄憑據,密碼就會暴露。
研究發現,目前惡意郵件附件的數量很高,卡巴斯基僅在2021年就攔截了超過1.48億個惡意附件。此外,卡巴斯基的反網絡釣魚系統還攔截了另外2.53億個網絡釣魚鏈接。而這只是來自卡巴斯基系統的數據,所以實際釣魚郵件數量要高得多。
防護建議:
加強網絡安全意識培養,對收到的電子郵件永遠保持懷疑態度;
將垃圾郵件過濾器設置到最高級別;
在可能的情況下,使用主動白名單;
在點擊郵件附件之前,使用鏈接檢查器確定電子郵件鏈接是否合法。
4、社會工程
社會工程的本質就是在現實世界中的網絡釣魚。攻擊者通過電話等方式,告訴被攻擊者,他們是新的辦公室技術支持團隊,需要其配合提供某些應用的密碼進行測試或驗證。一個毫無戒心的人往往會毫不猶豫地交出密碼。可怕的是這種情況經常發生。社會工程已經存在了幾個世紀。欺騙他人以進入安全區域是一種常見的攻擊方法,只有通過教育才能防范。當有人稱他們被騙泄露了密碼時,這通常都是社會工程的結果。
防護建議:
成功的社會工程攻擊在你意識到有問題的時候已經完成了。教育和安全意識是一個核心的緩解策略。同時,還應該避免發布個人信息,以免日后被攻擊者用來欺騙。
5、彩虹表(Rainbow Table)攻擊
彩虹表本質上是一種破解用戶密碼的輔助工具,主要是通過建立“明文->密文”對應關系的數據庫,破解時通過密文直接反查明文。舉個簡單的例子:如果將哈希的密文比喻成一把鎖,暴力破解的方式就是現場制作各種齒輪的鑰匙進行嘗試能否開鎖,這個鑰匙可能需要幾十億幾百億甚至更多,耗費的時間無疑非常的長,還不一定能夠破解。而彩虹表就是事先做好大量的鑰匙,并將鑰匙按照某種規律進行分組,每組鑰匙中只需要帶最具特征的一把,然后用這些特征鑰匙去嘗試開鎖,當發現某把特征鑰匙差一點就能開鎖了,則當場對該鑰匙進行現場打磨,直到能開鎖為止。這樣就會大大縮短找鑰匙開鎖的時間。
彩虹表可以自己編程來生成,也可以使用RainbowCrack或Cain等軟件來生成。當然,更簡單的方式是直接購買預先填充的彩虹表,其中包含數百萬個潛在的組合。
防護建議:
彩虹表提供了廣泛的攻擊潛力,是非常棘手的問題。因此,請避免以SHA1或MD5作為密碼哈希算法的任何網站或系統。同時,可以采用“加鹽(Salt)”措施,即在密碼的特定位置插入特定的字符串,這個特定字符串就是“鹽”,加鹽后的密碼哈希串與加鹽前的哈希串完全不同,黑客用彩虹表得到的密碼不再是真正的密碼。即便黑客知道了“鹽”的內容、加鹽的位置,還需要對函數進行修改,彩虹表也需要重新生成,因此加鹽能大大增加彩虹表攻擊的難度。
6、鍵盤記錄
有一種能竊取登錄密碼的惡意軟件工具。惡意軟件無處不在,有可能造成巨大的破壞。如果惡意軟件變種帶有鍵盤記錄器,將有能力破壞你所有的賬戶。或者,惡意軟件可以專門針對隱私數據或引入遠程訪問木馬來竊取你的密碼。
防護建議:
安裝并定期更新殺毒軟件和防病毒程序;
在下載應用程序時,要仔細考慮下載來源;
不要點擊包含捆綁包和更多內容的安裝包;
遠離惡意/流氓網站,并使用腳本攔截工具攔截惡意腳本。
7、爬蟲(Spidering)收集
主流的搜索引擎往往會不斷地派發爬蟲去瀏覽全網,首先找到各種頁面,然后將頁面上的文本和代碼復制并儲存在它們巨大的索引服務器上,這一過程就叫做爬行。大多數組織會使用包含公司信息的密碼。這些信息可以通過公司網站、社交媒體等途徑獲取。爬行就是從這些來源收集信息以提供單詞列表,隨后用于執行字典攻擊和暴力破解。
防護建議:
使用由隨機字符串組成的強大且唯一的密碼;
確保密碼與你的角色、業務、組織等無關。
8、肩窺(Shoulder Surfing)
肩窺指使用直接的觀察技術,站在別人身后,或越過肩膀探看別人操作進而獲取密碼。肩窺是一種獲取密碼的有效方法,因為當別人填表、在ATM機或POS機上輸入PIN碼、甚至在地鐵等公共場合用手機或電腦打字發消息時,比較容易站在旁邊觀察。此外,肩窺也可以通過使用雙筒望遠鏡或者其它視覺增強設備來實現遠距離觀察。
防護建議:
當輸入密碼時,要留意周圍的人,并遮蓋住輸入設備及按鍵動作。
來源: 安全架構