@深巷
2年前 提问
1个回答

针对用户密码的攻击有哪些

上官雨宝
2年前

针对用户密码的攻击有以下这些:

  • 暴力攻击:暴力攻击指黑客使用大量常见或泄露密码进行大量访问尝试的简单粗暴的密码攻击。即使是使用当今的高性能CPU能力的“游戏PC”级的计算机也可以每秒“猜测”数十亿个密码。

  • 字典攻击:字典攻击是暴力攻击的一种,在破解密码或密钥时,逐一尝试用户自定义词典中的可能密码(单词或短语)的攻击方式。与暴力破解的区别是,暴力破解会逐一尝试所有可能的组合密码,而字典式攻击会使用一个预先定义好的单词列表(可能的密码)。

  • 密码喷洒:穷举攻击是固定好用户名,利用多个密码尝试验证。与穷举攻击相反,密码喷洒攻击是固定好密码,尝试多个用户名进行验证。密码喷洒使用一个或数个通用密码“碰撞”许多不同的帐户,这种方法可以避免(多次密码尝试后的)帐户锁定阈值,许多组织将账户密码的错误尝试次数限制在3到5次。通过每次只尝试少于锁定阈值的一个密码,攻击者可以在整个组织中尝试多个密码,而不会被Active Directory中的默认保护机制阻止。密码喷洒攻击者通常会选择最终用户常用的密码、或使用已在网上泄露的密码。

  • 凭证填充(撞库):凭证填充(Credential Stuffing)是一种自动黑客攻击,也就是我们习惯称的“撞库”,利用从一项服务数据泄露中获得的登录凭据尝试登录到另一个不相关的服务。凭借高达2%的成功率,凭证填充自动程序占全球需多大型网站所有登录流量的90%以上,并且产生大量二手数据泄露。

  • 网络钓鱼:网络钓鱼是一种古老的攻击,已经有几十年历史,但至今仍然非常有效,非常主流。网络钓鱼攻击通过欺诈手段操纵人们执行操作或泄露机密信息,通常通过电子邮件进行实施。例如,攻击者伪装成合法组织或服务,以诱使用户泄露帐户信息。最常见的网络钓鱼策略是“紧急恐吓”,钓鱼电子邮件中可能包含诸如“紧急,您的帐户已被黑客入侵”之类的措辞。攻击者利用最终用户的恐慌情绪,让用户在“保护信息”时泄露信息。

  • 键盘记录器攻击:键盘记录器攻击用于记录用户在键盘上输入的敏感信息,例如帐户信息。键盘攻击涉及软件和硬件。例如,间谍软件可以记录键盘敲击以窃取各种敏感数据,从密码到信用卡号码。如果攻击者可以物理访问最终用户的计算机,则可以将物理硬件设备与键盘关联以记录输入的击键。

  • 社会工程攻击:社会工程包括一系列恶意活动,以操纵人们执行操作或泄露机密信息,包括网络钓鱼、语音钓鱼、社交媒体、诱饵和跟踪等。例如,网络钓鱼攻击是一种社会工程攻击形式,攻击者会诱骗您向他们提供敏感信息,例如密码、银行信息或对您的计算机或移动设备的控制权。

  • 密码重置:密码重置攻击是一种经典的社会工程攻击技术,攻击者假冒受害者致电服务台请求重置密码。黑客只需要说服服务台工作人员向他们提供新密码,而不是试图猜测或破解它。大型企业的服务台员工可能并不认识所有员工,因此尤其危险。疫情期间随着更多员工转向混合或完全远程工作模式,重置攻击也变得越来越普遍——因为验证最终用户并不像亲自打招呼那么简单。多项研究表明,密码重置中间人攻击非常简单有效。

  • 物理盗窃:写下密码是一种常见且非常危险的活动。贴在显示器上的“写有主密码的便利贴”很容易成为一次重大数据泄露事件的诱因。在密码管理中强制执行复杂性要求可能会导致用户将其写下来。对于少量需要记忆的密码,可选择使用密码短语组合的方式。如果您的最终用户正在为关键业务系统使用多个密码,请使用密码管理器。总之,显示器或桌子上的“物理密码”是大忌。

  • 密码重用:密码重用是数据泄露的主要原因之一。研究发现,超过70%的员工在工作中重复使用密码。在个人和公司帐户之间共享密码会使您的网络容易受到帐户攻击。如果您注册的爱好者论坛被黑客入侵,并且您在公司帐户中使用相同的密码,您的密码最终会出现在暗网上,公司系统也因此变得脆弱。

可以参考密码设置的诀窍来增强密码的安全性:

  • 联想法

    可以是某句你非常喜欢的词句的首字母,或者是这些词句的演化表达。比如:“一支红杏出墙来” 的拼音首字母,记忆变成 “1zhxcqL” 其中将 “一” 替换成数字 “1”,同时最后的一个字母 “l” 也使用了大写。

  • 错位记忆法

    选了一个容易记忆的基础密码之后,键入时将手指在键盘上再向上移一格。比如:基础密码是单词“dog“,那么在键盘上稍作错位变化之后,就变成了”e9t“。只要记住单词和规则就不用担心遗忘。

  • 中英搭配法

    以 “我爱工作” 为例,演化成 “woLovework7”,简单解释下其中 “我” 用拼音表示,其余三个字用英文 “Love work” 两个单词表达,love 的 “l” 大写,并在最后加上数字 7,是的意思就是我爱一周 7 天工作,又简单又好记有没有。