用于破解密码的 8 个最常见技巧

当您听到“安全漏洞”时,您会想到什么?坐在满是矩阵式数字文本的屏幕前的恶意黑客?还是一个住在地下室的少年,他已经三周没见日光了?一台试图入侵整个世界的强大超级计算机怎么样?

黑客攻击只有一件事:您的密码。如果有人能猜出你的密码,他们就不需要花哨的黑客技术和超级计算机。他们只会登录,扮演你的角色。如果您的密码简短而简单,那么游戏就结束了。

黑客用来破解密码的常用策略有八种。

1. 字典黑客

在常见的密码黑客策略指南中,首先是字典攻击。为什么称为字典攻击?因为它会根据密码自动尝试定义的“字典”中的每个单词。严格来说,这本字典并不是你在学校使用的那本。

不。这本字典实际上也是一个包含最常用密码组合的小文件。其中包括 123456、qwerty、password、iloveyou 和经典的 Hunter2。

上表详细列出了 2016 年泄露最多的密码。下表列出了 2020 年泄露最多的密码。

请注意两者之间的相似之处,并确保不要使用这些非常简单的选项。

优点:快;通常会解锁一些受到严重保护的帐户。

缺点:即使是稍微强一点的密码也会保持安全。

保持安全:为每个帐户使用强大的一次性密码,并结合密码管理应用程序。密码管理器允许您将其他密码存储在存储库中。然后你可以为每个站点使用一个单一的、非常强大的密码。

相关: Google 密码管理器:如何开始

2. 蛮力

接下来是蛮力攻击,攻击者会尝试每种可能的字符组合。尝试使用的密码将符合复杂性规则的规范,例如包括一个大写、一个小写、Pi 的小数点、您的披萨订单等。

蛮力攻击也会首先尝试最常用的字母数字字符组合。其中包括前面列出的密码,以及 1q2w3e4r5t、zxcvbnm 和 qwertyuiop。使用这种方法找出密码可能需要很长时间,但这完全取决于密码的复杂性。

优点:理论上,它会通过尝试每种组合来破解任何密码。

缺点:根据密码长度和难度,可能需要很长时间。输入一些变量,如 $、&、{ 或 ],找出密码变得非常困难。

保持安全:始终使用可变的字符组合,并在可能的情况下引入额外的符号以增加复杂性

3. 网络钓鱼

这并非严格意义上的“黑客攻击”,但成为网络钓鱼或鱼叉式网络钓鱼尝试的牺牲品通常会以很糟糕的方式结束。数十亿的普通网络钓鱼电子邮件发送给全球各种类型的互联网用户。

网络钓鱼电子邮件通常是这样工作的:

  1. 目标用户收到一封声称来自大型组织或企业的欺骗性电子邮件。
  2. 欺骗性电子邮件需要立即引起注意,其中包含指向网站的链接。
  3. 这个链接实际上连接到一个假的登录门户,被模拟为与合法站点完全一样。
  4. 毫无戒心的目标用户输入他们的登录凭据,然后被重定向或被告知重试。
  5. 用户凭据被盗、出售或被恶意使用(或两者兼有)。

全球每天发送的垃圾邮件量仍然很高,占全球发送的所有电子邮件的一半以上。此外,恶意附件的数量也很高,卡巴斯基指出,从 2020 年 1 月到 2020 年 6 月,恶意附件超过 9200 万个。请记住,这仅适用于卡巴斯基,因此实际数字要高得多

早在 2017 年,最大的网络钓鱼诱饵是假发票。但是,在 2020 年, COVID-19 大流行带来了新的网络钓鱼威胁

2020 年 4 月,在许多国家/地区进入大流行封锁后不久,谷歌宣布每天阻止超过 1800 万封以 COVID-19 为主题的恶意垃圾邮件和网络钓鱼电子邮件。大量这些电子邮件使用官方政府或卫生组织品牌来证明其合法性,并使受害者措手不及。

优点:用户实际上会交出他们的登录信息,包括密码——相对较高的命中率,在鱼叉式网络钓鱼攻击中很容易针对特定服务或特定人员量身定制。

缺点:垃圾邮件很容易过滤,垃圾邮件域被列入黑名单,谷歌等主要提供商不断更新保护措施。

保持安全:对电子邮件保持怀疑,并将垃圾邮件过滤器增加到最高设置,或者更好的是,使用主动白名单。在单击之前使用链接检查器确定电子邮件链接是否合法。

4. 社会工程学

社会工程学本质上是现实世界中的网络钓鱼,远离屏幕。

任何安全审计的核心部分都是衡量整个员工的理解程度。例如,一家安全公司会打电话给他们正在审计的业务。 “攻击者”在电话中告诉对方他们是新的办公室技术支持团队,他们需要最新的密码来进行特定的操作。

一个毫无戒心的人可能会毫不犹豫地交出钥匙。

可怕的是这种方法的工作频率。社会工程学已经存在了几个世纪。两面派进入安全区域是一种常见的攻击方法,只有通过教育才能防范。

这是因为攻击并不总是直接要求输入密码。可能是假水管工或电工要求进入安全建筑物等。

当有人说他们被骗透露密码时,这通常是社会工程的结果。

优点:熟练的社会工程师可以从一系列目标中提取高价值信息。它几乎可以在任何地方针对任何人进行部署。它非常隐蔽。

缺点:社会工程失败会引起对即将发生的攻击的怀疑,以及是否获得正确信息的不确定性。

保持安全:这是一个棘手的问题。当您意识到任何问题时,成功的社会工程攻击将完成。教育和安全意识是核心缓解策略。避免发布可能在以后对您不利的个人信息。

5. 彩虹桌

彩虹表通常是离线密码攻击。例如,攻击者获得了用户名和密码列表,但它们是加密的。加密的密码是散列的。这意味着它看起来与原始密码完全不同。

例如,您的密码是(希望不是!)logmein。此密码的已知 MD5 哈希值为“8f4047e3233b39e4444e1aef240e80aa”。

对你我来说都是胡言乱语。但在某些情况下,攻击者会通过散列算法运行明文密码列表,将结果与加密的密码文件进行比较。在其他情况下,加密算法很容易受到攻击,并且大多数密码已经被破解,例如 MD5(因此我们知道“logmein”的特定哈希值。

这是彩虹桌发挥作用的地方。彩虹表不必处理数十万个潜在密码并匹配其结果哈希,而是一组庞大的预先计算的特定于算法的哈希值。

使用彩虹表可以大大减少破解散列密码所需的时间——但它并不完美。黑客可以购买填充有数百万种潜在组合的预装彩虹表。

优点:可以在短时间内找出复杂的密码;在某些安全场景中授予黑客很大的权力。

缺点:需要大量空间来存储巨大的(有时是 TB 级)彩虹表。此外,攻击者仅限于表中包含的值(否则,他们必须添加另一个完整的表)。

保持安全:另一个棘手的问题。彩虹桌提供了广泛的攻击潜力。避免任何使用 SHA1 或 MD5 作为密码散列算法的网站。避免任何限制您使用短密码或限制您可以使用的字符的网站。始终使用复杂的密码。

相关:如何判断网站是否将密码存储为纯文本(以及该怎么做)

6. 恶意软件/键盘记录器

丢失登录凭据的另一种可靠方法是感染恶意软件。恶意软件无处不在,有可能造成巨大破坏。如果恶意软件变种具有键盘记录器,您可能会发现您的所有帐户都遭到入侵。

或者,恶意软件可以专门针对私人数据或引入远程访问特洛伊木马程序来窃取您的凭据。

优点:数以千计的恶意软件变种,许多可定制,有几种简单的交付方法。大量目标很有可能屈服于至少一种变体。它可以不被发现,允许进一步收集私人数据和登录凭据。

缺点:恶意软件可能无法工作,或者在访问数据之前被隔离;不保证数据有用。

保持安全安装并定期更新您的防病毒和反恶意软件。仔细考虑您的下载来源。不要单击包含捆绑软件等的安装包。避开邪恶的网站(说起来容易做起来难)。使用脚本阻止工具来阻止恶意脚本。

7. 爬虫

爬虫与字典攻击有关。如果黑客以特定机构或企业为目标,他们可能会尝试与企业本身相关的一系列密码。黑客可以阅读和整理一系列相关术语——或者使用搜索蜘蛛为他们完成工作。

您之前可能听说过“蜘蛛”这个词。这些搜索蜘蛛与那些在互联网上爬行、为搜索引擎索引内容的蜘蛛极其相似。然后针对用户帐户使用自定义单词列表以希望找到匹配项。

优点:可以潜在地为组织内的高级个人解锁帐户。相对容易组合并为字典攻击增加了额外的维度。

缺点:如果组织网络安全配置良好,最终可能会徒劳无功。

保持安全:同样,只使用由随机字符串组成的强大的一次性密码;没有任何与您的角色、业务、组织等相关的内容。

8. 肩部冲浪

最后一个选项是最基本的选项之一。如果有人在您输入密码时从您的肩膀上看着怎么办?

肩部冲浪听起来有点可笑,但它确实发生了。如果您在繁忙的市中心咖啡馆工作并且不注意周围环境,那么有人可能会在您输入时靠近并记下您的密码。

优点:窃取密码的低技术方法。

缺点:在找出密码之前必须识别目标;可以在偷窃的过程中暴露自己。

保持安全:输入密码时,请注意周围的人。在输入过程中盖住键盘并遮挡按键。

始终使用强大的、唯一的、一次性的密码

那么,如何阻止黑客窃取您的密码呢?真正简短的回答是,您不可能真正做到 100% 安全。黑客用来窃取您数据的工具一直在变化,并且有无数关于猜测密码或学习如何破解密码的视频和教程。

有一件事是肯定的:使用强大的、独特的、一次性的密码永远不会伤害任何人。