常见密码攻击手段以及应对措施
企业最常遭遇的密码攻击和缓解措施有:
暴力破解攻击
暴力破解是指黑客使用大批常见或泄露的密码,高强度尝试访问网络时所执行的密码攻击。利用当今高性能 CPU 的算力,连游戏级计算机每秒都可以猜测数十亿个密码。它靠蛮力主动猜测合法用户账户的密码。
防护措施:账户锁定、密码长度和密码短语超过 20 个字符、阻止增量密码和常见模式、泄露密码防护、自定义字典以及多因子身份验证(MFA)。
字典攻击
字典攻击某种意义上属于暴力破解手段之一,它使用大型的常见密码数据库(酷似字典)作为来源。它用于通过输入字典中的每个单词以及那些单词的派生词,以及以前泄露的密码或密码短语,非法访问受密码保护的资产。
防护措施:密码长度 / 密码短语超过 20 个字符、阻止增量密码 / 常见模式、泄露密码防护、自定义字典以及 MFA。
凭证填充
凭证填充是一种自动攻击,登录过程中尝试窃取的用户名和密码组合,试图闯入。凭证可能来自大型数据库,这些数据库含有真实的泄露账户和密码,可从网上购得。由于高达 2% 的成功率,凭证填充攻击者占到全球许多最大网站的所有登录流量的 90% 以上,引发了大量次生数据泄露事件。
防护措施:阻止增量 / 常见模式、泄露密码防护 / 自定义字典、MFA 以及账户锁定。
密码喷洒攻击
密码喷洒攻击针对许多不同的账户、服务和组织尝试使用一个或两个通用密码,以此避免在单个账户上被检测或锁定。攻击者使用这种方法避免超过设定的账户锁定阈值,许多组织经常设置为输错三到五次就锁住账户。
只要在锁定阈值内输对密码,攻击者可以在整个组织成功尝试多个密码,不会被活动目录(Active Directory)中的默认保护机制阻止。攻击者选择最终用户常用的密码和数学公式来猜测密码,或使用已在密码泄露网站上公布的泄露密码。
防护措施:密码长度 / 密码短语超过 20 个字符、阻止增量密码 / 常见模式、泄露密码防护、自定义字典以及 MFA。
网络钓鱼
网络钓鱼是一种古老的攻击,已用了几十年,然而它依然非常有效。网络钓鱼攻击旨在引诱人们执行操作或泄露机密信息,常常通过电子邮件来实施。比如说,攻击者伪装成合法组织或服务商,诱使用户泄露账户信息。
其他网络钓鱼电子邮件使用 “很紧迫的恐吓手段”,促使用户迅速泄露信息。电子邮件可能含有 “紧急通知:您的账户已被闯入” 之类的内容。攻击者利用最终用户的恐慌情绪,让误以为攻击者在保护信息的用户泄露信息。在使用个人设备的组织中,网络犯罪分子可以利用这些网络钓鱼手段,诱骗最终用户交出公司登录信息。
防护措施:网络安全意识培训、MFA、配置电子邮件 banner 以及邮件服务器配置(DKIM、SPF 等)。
击键记录器攻击
击键记录器攻击用于记录敏感信息,比如输入的账户信息。它可能涉及软件和硬件。比如说,间谍软件可以记录击键内容,以窃取从密码到信用卡号的各种敏感数据。如果攻击者能接触最终用户的计算机,可以将物理硬件设备连接到键盘以记录输入的内容。
防护措施:安全意识培训、最新的恶意软件防护、恶意 URL 防护、MFA、阻止未知的 USB 设备、密码管理器及加强关键业务环境的物理访问。
社会工程攻击
社会工程攻击包括一系列恶意活动,以劝诱人们执行操作或泄露机密信息,包括网络钓鱼、语音钓鱼、社交媒体引诱和尾随。比如说,网络钓鱼攻击是一种社会工程伎俩,攻击者诱骗你提供密码和银行信息等敏感信息,或者交出计算机或移动设备的控制权。
社会工程攻击通常企图利用人性的自然倾向。攻击者诱骗你提供密码信息通常比使用其他手段破解密码要容易得多。
防护措施:加强企业安全意识培训,应用安全的 MFA 方法
密码重置
密码重置攻击是也一种经典的社会工程伎俩,用于访问网络:呼叫帮助台,冒充别人,请求新密码。黑客只需说服帮助台工作人员为他们提供新密码,而不是试图猜测或破解密码。对于帮助台员工可能不认识所有员工的大组织来说,这尤其危险。由于员工队伍转向混合或完全远程模式,这种攻击也变得越来越常见,因为验证最终用户不像当面打招呼那么简单。
防护措施:加强帮助台的验证 / MFA、开展安全意识培训、结合 MFA 的自助式密码重置(SSPR)。
物理盗窃
写下密码是一种常见且非常危险的活动。贴在显示器上的“写有主密码的便利贴”很容易成为一次重大数据泄露事件的诱因。在密码管理中强制执行复杂性要求可能会导致用户将其写下来。对于少量需要记忆的密码,可选择使用密码短语组合的方式。如果您的最终用户正在为关键业务系统使用多个密码,请使用密码管理器。总之,显示器或桌子上的“物理密码”是大忌。
防护措施:安全意识培训、使用密码短语和密码管理器
密码重用
密码重用是数据泄露的主要原因之一。研究发现,超过70%的员工在工作中重复使用密码。在个人和公司帐户之间共享密码会使您的网络容易受到帐户攻击。如果您注册的爱好者论坛被黑客入侵,并且您在公司帐户中使用相同的密码,您的密码最终会出现在暗网上,公司系统也因此变得脆弱。
防护措施:安全意识培训、密码短语、密码管理器、泄露密码防护、自定义字典、阻止增量、日常模式密码。