您当前的位置:首页 > 电脑百科 > 安全防护 > 数据安全

典型的密码破解手段与防护建议

时间:2023-08-08 15:02:45  来源:  作者:安全架构

很多网络攻击可能只涉及一件事——破解你的密码。如果有人能获取你的账户密码,那根本无需任何花哨的黑客技术,就可以轻松窃取你的数字资产。

"未知攻,焉知防",为更有效地提升安全防护水平,应了解攻击者如何使用下述8种策略来破解密码:

 

01字典攻击

在常用密码攻击技术指南中,“字典攻击”位居首位。之所以称之为“字典攻击”是因为它会自动对已定义的“字典”中的每个单词进行密码测试。当然,这里的字典可不是你在学校用的那本,而是一个包含最常用密码组合的小文件,其中包括123456、qwerty、password、iloveyou、hunter2等等。

 

研究人员发现,很多脆弱、容易破解的密码长期保持不变,只是顺序略有不同而已。如果你不想别人知道你的密码,永远不要使用这些经常被使用的弱密码。

防护建议:

尽可能使用密码管理工具,为每个业务账户设置一个强大且单一的密码。密码管理器允许用户将各种密码安全地存储在一个数据库中。然后你就可以为每个系统使用强大、复杂、安全的密码,同时不用担心密码遗忘。
 

02暴力破解

暴力破解(brute force),又名暴力攻击、暴力猜解,从数学和逻辑学的角度,它属于穷举法在现实场景的运用。当攻击者获得密码哈希时,就会使用暴力破解来尝试登录用户账户,即通过利用大量猜测和穷举的方式来尝试获取用户口令的攻击方式。在实际应用中,暴力破解通常有如下四种技术形态:

  1. Password Guessing(密码猜测):在不了解账户密码的情况下,攻击者可能会在操作过程中通过使用常用密码字典来猜测登录密码,而无须事先了解系统或环境密码。

  2. Password Cracking(密码破解):当获得凭证材料(例如密码哈希)时,攻击者可能会尝试解密密码来恢复可用的凭据,例如纯文本密码。

  3. Password Spraying(密码喷洒):由于使用多个密码来暴力破解一个账号可能会导致该账号被锁定,攻击者可能会针对许多不同账户使用单个或少量的常用密码列表,以尝试获取有效账户凭据。

  4. Credential Stuffing(撞库):攻击者可以使用受害者历史上泄露的数据获得凭据,通过凭据重叠来访问目标账户。

 

防护建议:

  • 更多使用可变的字符组合,在可能的情况下,引入额外的符号来增加复杂性;

  • 在用户登录时增加验证码,防止通过程序自动枚举账户;

  • 确保所有类型的验证码能够“用后即失效”,防止被重用;

  • 在用户登录中增加对同一IP地址尝试次数的限制;

  • 定期对比数据库存储的密码密文值与Top500弱密码的密文值。

 

03网络钓鱼
 

网络钓鱼并非严格意义上的“黑客攻击”,但受害者通常会有非常糟糕的结局。一般的网络钓鱼邮件会被发送给全球各地各种各样的互联网用户,这绝对是盗取密码最流行的方式之一。目标用户会收到一封伪造的电子邮件,声称是来自一个知名组织或企业。欺诈邮件会强调紧急性,并突出一个网站链接。这个链接实际上连接到一个虚假的登录门户,只是它们看起来几乎和合法网站完全一样。只要受害用户输入他们的登录凭据,密码就会暴露。

研究发现,目前恶意邮件附件的数量很高,卡巴斯基仅在2021年就拦截了超过1.48亿个恶意附件。此外,卡巴斯基的反网络钓鱼系统还拦截了另外2.53亿个网络钓鱼链接。而这只是来自卡巴斯基系统的数据,所以实际钓鱼邮件数量要高得多。

 

防护建议:

  • 加强网络安全意识培养,对收到的电子邮件永远保持怀疑态度;

  • 将垃圾邮件过滤器设置到最高级别;

  • 在可能的情况下,使用主动白名单;

  • 在点击邮件附件之前,使用链接检查器确定电子邮件链接是否合法。

 

04社会工程

社会工程的本质就是在现实世界中的网络钓鱼。攻击者通过电话等方式,告诉被攻击者,他们是新的办公室技术支持团队,需要其配合提供某些应用的密码进行测试或验证。一个毫无戒心的人往往会毫不犹豫地交出密码。可怕的是这种情况经常发生。社会工程已经存在了几个世纪。欺骗他人以进入安全区域是一种常见的攻击方法,只有通过教育才能防范。当有人称他们被骗泄露了密码时,这通常都是社会工程的结果。

 

防护建议:

成功的社会工程攻击在你意识到有问题的时候已经完成了。教育和安全意识是一个核心的缓解策略。同时,还应该避免发布个人信息,以免日后被攻击者用来欺骗。

 

05彩虹表(RAInbow Table)攻击

彩虹表本质上是一种破解用户密码的辅助工具,主要是通过建立“明文->密文”对应关系的数据库,破解时通过密文直接反查明文。举个简单的例子:如果将哈希的密文比喻成一把锁,暴力破解的方式就是现场制作各种齿轮的钥匙进行尝试能否开锁,这个钥匙可能需要几十亿几百亿甚至更多,耗费的时间无疑非常的长,还不一定能够破解。而彩虹表就是事先做好大量的钥匙,并将钥匙按照某种规律进行分组,每组钥匙中只需要带最具特征的一把,然后用这些特征钥匙去尝试开锁,当发现某把特征钥匙差一点就能开锁了,则当场对该钥匙进行现场打磨,直到能开锁为止。这样就会大大缩短找钥匙开锁的时间。

彩虹表可以自己编程来生成,也可以使用RainbowCrack或Cain等软件来生成。当然,更简单的方式是直接购买预先填充的彩虹表,其中包含数百万个潜在的组合。

 

防护建议:

彩虹表提供了广泛的攻击潜力,是非常棘手的问题。因此,请避免以SHA1或MD5作为密码哈希算法的任何网站或系统。同时,可以采用“加盐(Salt)”措施,即在密码的特定位置插入特定的字符串,这个特定字符串就是“盐”,加盐后的密码哈希串与加盐前的哈希串完全不同,黑客用彩虹表得到的密码不再是真正的密码。即便黑客知道了“盐”的内容、加盐的位置,还需要对函数进行修改,彩虹表也需要重新生成,因此加盐能大大增加彩虹表攻击的难度。
 

06键盘记录

有一种能窃取登录密码的恶意软件工具。恶意软件无处不在,有可能造成巨大的破坏。如果恶意软件变种带有键盘记录器,将有能力破坏你所有的账户。或者,恶意软件可以专门针对隐私数据或引入远程访问木马来窃取你的密码。

 

防护建议:

  • 安装并定期更新杀毒软件和防病毒程序;

  • 在下载应用程序时,要仔细考虑下载来源;

  • 不要点击包含捆绑包和更多内容的安装包;

  • 远离恶意/流氓网站,并使用脚本拦截工具拦截恶意脚本。

07爬虫(Spidering)收集
 

主流的搜索引擎往往会不断地派发爬虫去浏览全网,首先找到各种页面,然后将页面上的文本和代码复制并储存在它们巨大的索引服务器上,这一过程就叫做爬行。大多数组织会使用包含公司信息的密码。这些信息可以通过公司网站、社交媒体等途径获取。爬行就是从这些来源收集信息以提供单词列表,随后用于执行字典攻击和暴力破解。
 

防护建议:

  • 使用由随机字符串组成的强大且唯一的密码;

  • 确保密码与你的角色、业务、组织等无关。

08肩窥(Shoulder Surfing)

肩窥指使用直接的观察技术,站在别人身后,或越过肩膀探看别人操作进而获取密码。肩窥是一种获取密码的有效方法,因为当别人填表、在ATM机或POS机上输入PIN码、甚至在地铁等公共场合用手机或电脑打字发消息时,比较容易站在旁边观察。此外,肩窥也可以通过使用双筒望远镜或者其它视觉增强设备来实现远距离观察。

 

防护建议:

当输入密码时,要留意周围的人,并遮盖住输入设备及按键动作。



Tags:密码   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
手机就可以修改WiFi密码,进行网络提速,还能防止别人蹭网
随着网络的普及和使用频率的增加,很多人可能遇到了一些网络管理上的问题,比如忘记了WiFi密码、网络速度缓慢、或者发现有不明设备在家中蹭网。相信朋友们也曾遇到过吧?但是,你知...【详细内容】
2024-04-03  Search: 密码  点击:(5)  评论:(0)  加入收藏
未来5年微短剧或撬动千亿市场 短剧的下一个“财富密码”是它?
数据来源:中国网络视听发展报告(2024)“当下,网络视听是全球最大最火爆、最有前途,且充满活力的行业之一。而短剧尤其是微短剧以及延伸出来的网络新型直播,是目前中国和全球网络视...【详细内容】
2024-03-28  Search: 密码  点击:(12)  评论:(0)  加入收藏
中国三大运营商共同发布通过GSMA Open Gateway认证的一次性密码 API
3月26日,北京:中国三大领先的移动运营商——中国移动、中国电信和中国联通今日发布商用OTP API(一次性密码API)服务,并通过了GSMA Open Gateway认证。此次发布标志着中...【详细内容】
2024-03-26  Search: 密码  点击:(18)  评论:(0)  加入收藏
微信转账时弹出“这一行字”,别急着输付款密码,已有不少人中招
在我们日常生活中,微信转账已经成为了一种非常便捷的支付方式。然而,就在我们使用这种支付方式时,有时会遇到一些看似平常却隐藏着风险的提示信息。今天,我就要提醒大家,如果在微...【详细内容】
2024-03-14  Search: 密码  点击:(14)  评论:(0)  加入收藏
手机设置指纹好还是密码好?
近日,我和一位朋友正在一家咖啡馆品茶聊天,话题自然而然地转到了手机的安全性。我拿起咖啡杯,微笑着问道:“你觉得手机指纹锁好,还是密码锁更安全呢?”这个问题引发了我们长达数小...【详细内容】
2024-03-11  Search: 密码  点击:(11)  评论:(0)  加入收藏
忘记Word文档密码?教你如何快速解密解决!
在网上找回word文档密码、去除word文档密码非常简单。具体步骤如下:1.百度搜索““六牛助手”官网”;2.点击“立即开始”并在用户中心上传需要解密的文件,稍等片刻即可找回密码...【详细内容】
2024-03-01  Search: 密码  点击:(25)  评论:(0)  加入收藏
人人都该懂密码学,通用密码学原理与应用实战|完结无密
来百度APP畅享高清图片//下栽のke:http://quangneng.com/4061/标题:人人都该懂密码学:通用密码学原理与应用实战在当今数字化的世界中,密码学已经成为了信息安全的核心。不论是...【详细内容】
2024-02-06  Search: 密码  点击:(49)  评论:(0)  加入收藏
Word中密码设置、重置、删除和查找的方法,看这篇就差不多了
这篇文章解释了如何加密和解锁Word文档,以及当你忘记密码是什么时,从Word文档中删除密码的最佳方法。本文中的说明适用于Microsoft Word for Microsoft 365、Word 2019、Word...【详细内容】
2024-02-06  Search: 密码  点击:(89)  评论:(0)  加入收藏
Vision Pro用户忘记密码必须退回苹果重置 数据也将丢失
【CNMO新闻】日前,苹果Vision Pro头显正式在美国开售。这款高科技产品引发了广大用户的关注。而近日,CNMO注意到,Vision Pro头显的买家发现,如果他们丢失了密码,可能会很麻烦。苹...【详细内容】
2024-02-06  Search: 密码  点击:(81)  评论:(0)  加入收藏
笔记本电脑如何设置开机密码
在信息化时代,笔记本电脑已经成为我们工作、学习和生活中不可或缺的工具。然而,与此同时,信息安全问题也日益突出。为了保护个人隐私和重要数据,设置开机密码成为了必不可少的一...【详细内容】
2024-01-30  Search: 密码  点击:(29)  评论:(0)  加入收藏
▌简易百科推荐
保护隐私,从微信朋友圈开始
在这个信息化高速发展的时代,微信已经成为了我们生活中不可或缺的一部分。无论是工作沟通、亲友联络,还是日常的消遣娱乐,微信都扮演着重要的角色。而微信朋友圈,更是成为了我们...【详细内容】
2024-04-08    松鼠宝贝  Tags:微信朋友圈   点击:(5)  评论:(0)  加入收藏
加密领域的热门概念和创新应用
在当下快速发展的加密货币领域,BTC Layer 2(二层)概念、比特币商业场景型的应用、DePIN以及AI领域的全球GPU算力调度网等项目备受关注,被视为具有巨大潜力的创新方向。让我们一...【详细内容】
2024-03-20  曜楠科技    Tags:加密   点击:(17)  评论:(0)  加入收藏
让隐私数据不再裸奔!一文掌握加密技术,让你的隐私高枕无忧
随着互联网的普及和数字化进程的加速,加密技术已经成为我们生活中不可或缺的一部分。从保护个人隐私到保障国家安全,加密技术都发挥着至关重要的作用。今天,我们就来一起盘点一...【详细内容】
2024-02-19  媺媺熊    Tags:隐私数据   点击:(0)  评论:(0)  加入收藏
人人都该懂密码学,通用密码学原理与应用实战|完结无密
来百度APP畅享高清图片//下栽のke:http://quangneng.com/4061/标题:人人都该懂密码学:通用密码学原理与应用实战在当今数字化的世界中,密码学已经成为了信息安全的核心。不论是...【详细内容】
2024-02-06  阿小白    Tags:密码学   点击:(49)  评论:(0)  加入收藏
笔记本电脑如何设置开机密码
在信息化时代,笔记本电脑已经成为我们工作、学习和生活中不可或缺的工具。然而,与此同时,信息安全问题也日益突出。为了保护个人隐私和重要数据,设置开机密码成为了必不可少的一...【详细内容】
2024-01-30  雨后海棠    Tags:开机密码   点击:(29)  评论:(0)  加入收藏
什么是密钥扩展?如何确保密码安全?
译者 | 陈峻审校 | 重楼为了访问自己的数字账户,我们通常需要用到密码或口令。不过,正如现实生活中开锁的钥匙可能并不总是牢靠一样,并非所有的密码都是安全的。为了加强在线防...【详细内容】
2023-12-22    51CTO  Tags:密码   点击:(89)  评论:(0)  加入收藏
SQL注入漏洞的检测及防御方法
SQL注入(SQL Injection)是一种广泛存在于Web应用程序中的严重安全漏洞,它允许攻击者在不得到授权的情况下访问、修改或删除数据库中的数据。这是一种常见的攻击方式,因此数据库...【详细内容】
2023-12-01  兰花豆说网络安全  微信公众号  Tags:SQL注入   点击:(115)  评论:(0)  加入收藏
网络安全秘籍:打造隐私防护墙,保卫您的个人信息!
随着互联网的普及,越来越多的个人信息被储存在网络上。这些信息包括我们的通讯地址、购物记录、银行账号等,一旦被黑客窃取,后果将不堪设想。那么,如何保护个人隐私免受网络攻击...【详细内容】
2023-11-21  白面知识铺    Tags:网络安全   点击:(199)  评论:(0)  加入收藏
在数字时代,如何确保您的个人数据安全
随着我们生活中越来越多的信息数字化,个人隐私保护成为一个不容忽视的重要话题。无论是网络购物、社交媒体还是在线银行,我们的大量个人数据都在网络上流动。那么,如何保护我们...【详细内容】
2023-10-30  万花筒娱圈    Tags:个人数据   点击:(270)  评论:(0)  加入收藏
密码的末路!谷歌将密钥设为所有用户的默认登录方式
作者丨Carly Page编译丨诺亚近日,谷歌宣布,密钥正在成为所有用户的默认登录方法。因此,密钥也被这家科技巨头吹捧为密码“终结的开始”。密钥是一种防网络钓鱼的密码替代品,允许...【详细内容】
2023-10-19    51CTO  Tags:密钥   点击:(238)  评论:(0)  加入收藏
站内最新
站内热门
站内头条