分類
數字趨勢

用于破解密码的8种最常见技巧

当您听到“违反安全性”的提示时,会想到什么?坐在以矩阵样式的数字文本覆盖的屏幕前的恶意黑客?还是一个住在地下室的少年,他们三周没见日光了?试图入侵整个世界的功能强大的超级计算机怎么样?

骇客只是一回事:您的密码。如果有人可以猜出您的密码,那么他们就不需要花哨的黑客技术和超级计算机。他们将以您的身份登录。如果您的密码短而简单,那就结束了。

黑客使用八种常见策略来入侵您的密码。让我们来看看。

1.字典破解

常见的密码黑客战术指南中首先提到的是字典攻击。为什么称为字典攻击?因为它会针对密码自动尝试定义的“词典”中的每个单词。这本词典不是严格意义上的学校词典。

否。此字典实际上是一个小文件,也将包含最常用的密码组合。其中包括123456,qwerty,密码,iloveyou和历史悠久的经典版hunter2。上表详细介绍了2016年泄露最多的密码。

下表详细介绍了2020年泄露最多的密码。请注意两者之间的相似之处,并确保您不要使用这些非常简单的选项。

优点:速度快,通常会解锁一些受严重保护的帐户。

缺点:即使稍强一些的密码也将保持安全。

保持安全:结合密码管理应用程序,为每个帐户使用强大的一次性密码。密码管理器使您可以将其他密码存储在存储库中。然后,您可以为每个站点使用一个可笑的强密码。请参阅我们的Google密码管理器概述以开始使用。

2.蛮力

接下来,进行暴力攻击,攻击者将尝试所有可能的字符组合。尝试输入的密码将符合复杂性规则的规范,例如,包括一个大写字母,一个小写字母,Pi的小数位数,您的比萨饼顺序等。

暴力攻击还将首先尝试最常用的字母数字字符组合。其中包括之前列出的密码,以及1q2w3e4r5t,zxcvbnm和qwertyuiop。使用这种方法找出密码可能会花费很长时间,但这完全取决于密码的复杂性。

优点:从理论上讲,将尝试各种组合来破解任何密码。

缺点:根据密码的长度和难度,可能要花费很长时间。抛出$,&,{或]之类的一些变量,弄清楚密码变得非常困难。

保持安全:请始终使用可变的字符组合,并在可能的情况下引入其他符号以增加复杂性

3.网络钓鱼

从严格意义上讲,这并不是“黑客”,但是沦为网络钓鱼或鱼叉式网络钓鱼企图的牺牲品通常会严重失败。数十亿美元的一般网络钓鱼电子邮件发送给全球各种形式的互联网用户。

网络钓鱼电子邮件通常如下所示:

  1. 目标用户收到的伪造的电子邮件似乎是来自主要组织或企业的
  2. 欺骗性电子邮件需要立即引起关注,并带有指向网站的链接
  3. 链接到网站实际上是链接到假登录门户,其模拟结果与合法网站完全相同
  4. 毫无戒心的目标用户输入其登录凭据,并被重定向或被告知重试
  5. 用户凭证被盗用,出售或被恶意使用(或两者皆有)

全球每天发送的垃圾邮件数量仍然很高,占全球发送的所有电子邮件的一半以上。此外,恶意附件的数量也很高,卡巴斯基注意到从2020年1月到2020年6月有超过9200万个恶意附件。请记住,这仅是针对卡巴斯基的,因此实际数量要高得多。

早在2017年,最大的网络钓鱼诱饵是伪造发票。但是,在2020年, COVID-19大流行提供了新的网络钓鱼威胁

2020年4月,就在许多国家开始大流行封锁之后不久,谷歌宣布每天阻止超过1800万以COVID-19为主题的恶意垃圾邮件和网络钓鱼电子邮件。这些电子邮件中有大量使用官方政府或卫生组织的商标进行合法性验证,并让受害者措手不及。

优点:用户从字面上移交了他们的登录信息,包括密码。命中率相对较高,很容易针对特定服务或针对特定人员的鱼叉式网络钓鱼攻击进行调整

缺点:垃圾邮件容易过滤,垃圾邮件域被列入黑名单,主要供应商(如Google)不断更新保护措施。

保持安全:我们已经介绍了如何发现网络钓鱼电子邮件。此外,将垃圾邮件过滤器设置为最高设置,或者更好地使用主动白名单。单击之前,使用链接检查器确定电子邮件链接是否合法。

4.社会工程

社会工程实质上是在远离屏幕的现实世界中进行网络钓鱼。请阅读下面的简短示例(这里还有一些要注意的地方!)。

任何安全审核的核心部分都是衡量整个员工的理解。在这种情况下,安全公司将致电他们正在审核的公司。 “攻击者”在电话中告诉该人他们是新的办公室技术支持团队,并且他们需要针对特定​​内容的最新密码。一个毫无戒心的人可以不加思索地交出王国的钥匙。

可怕的是,这种情况多久发生一次。社会工程学已经存在了几个世纪。欺骗进入安全区域是一种常见的攻击方法,并且只有通过教育才能防范。这是因为攻击不会总是直接要求输入密码。可能是假的水管工或电工要求进入安全的建筑物,依此类推。

优点:熟练的社会工程师可以从一系列目标中提取高价值信息。可以针对几乎任何地方的任何人进行部署。非常隐秘。

缺点:社会工程学的失败可能会引起对即将发生的攻击的怀疑,也不确定是否购买了正确的信息。

保持安全:这是一个棘手的问题。当您意识到任何错误时,成功的社交工程攻击都将完成。教育和安全意识是一项核心缓解策略。避免发布个人信息,以免日后对您使用。

5.彩虹桌

彩虹表通常是一种脱机密码攻击。例如,攻击者获得了用户名和密码的列表,但它们已被加密。加密的密码被散列。这意味着它看起来与原始密码完全不同。

例如,您的密码是(希望不是!)logmein。此密码的已知MD5哈希为“ 8f4047e3233b39e4444e1aef240e80aa”。

这对您和我来说都是胡言乱语。但是在某些情况下,攻击者将通过哈希算法运行明文密码列表,并将结果与​​加密的密码文件进行比较。在其他情况下,加密算法很容易受到攻击,并且大多数密码已经被破解,例如MD5(因此我们知道“登录名”的特定哈希)。

这是彩虹桌的地方。彩虹表不必处理成千上万的潜在密码并匹配它们产生的哈希值,而是由大量预先计算的特定于算法的哈希值组成。

使用彩虹表可以大大减少破解散列密码所需的时间-但这并不完美。黑客可以购买装有数百万个潜在组合的预装彩虹桌。

优点:可以在短时间内找出复杂的密码,从而使黑客在某些安全情况下拥有强大的能力。

缺点:需要大量空间来存储巨大的(有时为TB级)彩虹表。此外,攻击者仅限于表中包含的值(否则,他们必须添加另一个整个表)。

保持安全:另一个棘手的问题。彩虹桌具有广泛的攻击潜力。避免使用SHA1或MD5作为其密码哈希算法的任何站点。避免使用任何网站限制您输入短密码或限制使用的字符。始终使用复杂的密码。

想知道如何知道网站是否以明文形式存储密码?查阅本指南以进行查找。

6.恶意软件/键盘记录器

丢失登录凭据的另一种可靠方法是犯恶意软件。恶意软件无处不在,有可能造成巨大破坏。如果该恶意软件变体具有键盘记录程序,则您可能会发现所有帐户均遭到破坏。

或者,该恶意软件可以专门针对私人数据或引入远程访问木马来窃取您的凭据。

优点:成千上万种恶意软件变体,其中许多可自定义,并具有几种简便的交付方式。很多目标很可能屈服于至少一个变体。它可能不会被检测到,从而允许进一步收集私有数据和登录凭据。

缺点:访问该数据之前,该恶意软件可能无法运行或已被隔离,因此不能保证该数据有用。

保持安全安装并定期更新您的防病毒和反恶意软件。请仔细考虑您的下载源。不要点击包含捆绑软件和更多内容的安装软件包。避开邪恶的网站(我知道,说起来容易做起来难)。使用脚本阻止工具来阻止恶意脚本。

7.爬网

在前面提到的字典攻击中建立了紧密的联系。如果黑客针对特定机构或企业,则他们可能会尝试一系列与企业本身有关的密码。黑客可以阅读和整理一系列相关术语-或使用搜索蜘蛛为它们完成工作。

您可能以前听说过“蜘蛛”一词。这些搜索蜘蛛与通过Internet爬行,为搜索引擎索引内容的搜索蜘蛛极为相似。然后将自定义单词列表用于用户帐户,以期找到匹配项。

优点:可以为组织内的高级人员解锁帐户。相对容易组合在一起,为字典攻击增加了一个额外的维度。

缺点:如果组织网络安全配置正确,最终将无济于事。

保证安全:再次,仅使用由随机字符串组成的强大的一次性密码-不会链接到您的角色,业务,组织等。

8.肩冲浪

好的,最后一个选项是最基本的选项之一。如果在您输入密码时有人只是看了您的应怎么办?

肩膀冲浪听起来有点荒谬,但是确实发生了。如果您在繁忙的市区咖啡厅工作,而又不注意周围的环境,那么有人在输入时可能会靠近到足以记下您的密码。

优点:窃取密码的技术含量较低。

缺点:在弄清楚密码之前必须先确定目标,才能在窃取过程中暴露自己。

保持安全:输入密码时,请注意观察周围的人,遮盖键盘,在输入过程中遮盖按键。

始终使用强壮,唯一的一次性密码

那么,如何阻止黑客窃取密码?真正的简短答案是您不能真正做到100%安全。黑客用来窃取您数据的工具一直在变化。但是您可以减轻遭受漏洞的威胁。

可以肯定的是:使用强大的,唯一的,一次性的密码永远不会伤害任何人。如果您需要用于创建强密码和口令的工具,我们可以为您提供帮助!