想知道某人的密码吗?回顾你的人生选择。了解如何保护您的密码免受黑客攻击。

56341-ck4wtvic4o8.png
当您听到“安全漏洞”时,您会想到什么?一个恶毒的黑客坐在覆盖着矩阵式数字文本的屏幕前?还是一个住在地下室的少年,三周内没见过日光?试图入侵整个世界的强大超级计算机怎么样?

黑客攻击只涉及一件事:您的密码。如果有人能猜出您的密码,他们就不需要花哨的黑客技术和超级计算机。他们会以您的身份登录。如果您的密码又短又简单,那么游戏就结束了。

黑客使用八种常用策略来破解您的密码。

  1. 字典破解
  2. 年泄露的前 20 个密码

常用密码黑客策略指南中的第一个是字典攻击。为什么称为字典攻击?因为它会根据密码自动尝试定义的“字典”中的每个单词。严格来说,这本字典并不是你在学校使用的那本。

不,这本字典实际上是一个包含最常用密码组合的小文件。其中包括 123456、qwerty、password、iloveyou 和历史悠久的经典 Hunter2。

上表详细列出了 2016 年泄露最多的密码。下表详细列出了 2020 年泄露最多的密码。

请注意两者之间的相似之处——并确保不要使用这些极其简单的选项。

2020 年泄露的前 20 个密码
优点:快;通常会解锁一些受到严重保护的帐户。

缺点:即使稍强的密码也将保持安全。

保持安全:结合密码管理应用程序为每个帐户使用强大的一次性密码。密码管理器允许您将其他密码存储在存储库中。然后,您可以为每个站点使用一个可笑的强密码。

有关的:
谷歌密码管理器:如何开始

2.蛮力

接下来是蛮力攻击,攻击者尝试所有可能的字符组合。尝试的密码将与复杂性规则的规范相匹配,例如,包括一个大写、一个小写、Pi 的小数、您的披萨订单等。

蛮力攻击也将首先尝试最常用的字母数字字符组合。其中包括前面列出的密码,以及 1q2w3e4r5t、zxcvbnm 和 qwertyuiop。使用这种方法找出密码可能需要很长时间,但这完全取决于密码的复杂性。

优点:理论上,它可以通过尝试每种组合来破解任何密码。

缺点:根据密码长度和难度,可能需要很长时间。加入一些变量,如 $、&、{ 或 ],找出密码变得非常困难。

保持安全:始终使用可变的字符组合,并在可能的情况下引入额外的符号以增加复杂性。

  1. 网络钓鱼
    这并不是严格意义上的“黑客攻击”,但成为网络钓鱼或鱼叉式网络钓鱼尝试的牺牲品通常会以糟糕的结局告终。数十亿人向全球各种互联网用户发送一般网络钓鱼电子邮件,这绝对是找出某人密码的最流行方法之一。

网络钓鱼电子邮件通常是这样工作的:

目标用户收到声称来自主要组织或企业的欺骗性电子邮件。
欺骗性电子邮件需要立即引起注意,其中包含指向网站的链接。
这个链接实际上连接到一个虚假的登录门户,被模拟成与合法网站完全相同。
毫无戒心的目标用户输入他们的登录凭据,然后被重定向或被告知重试。
用户凭证被盗、被出售或被恶意使用(或两者兼而有之)。
全球每天发送的垃圾邮件量仍然很高,占全球发送的所有电子邮件的一半以上。此外,恶意附件的数量也很高,卡巴斯基在 2021 年阻止了超过 1.48 亿个恶意附件。此外,卡巴斯基的反网络钓鱼系统还阻止了另外 2.53 亿个网络钓鱼链接。请记住,这仅适用于卡巴斯基,因此实际数字要高得多。

4 张图片
卡巴斯基2021恶意邮件图表感谢卡巴斯基垃圾邮件和网络钓鱼报告 2021
卡巴斯基垃圾邮件份额月度图表归功于卡巴斯基 2021 年垃圾邮件网络钓鱼报告
卡巴斯基顶级网络钓鱼页面 2021卡巴斯基垃圾邮件网络钓鱼报告 2021
网络钓鱼组织的分布 2021感谢卡巴斯基垃圾邮件和网络钓鱼报告 2021
早在 2017 年,最大的网络钓鱼诱饵就是一张假发票。然而,在 2020 年,COVID-19 大流行带来了新的网络钓鱼威胁。2020 年 4 月,在许多国家进入大流行封锁后不久,谷歌宣布每天阻止超过 1800 万封以 COVID-19 为主题的恶意垃圾邮件和网络钓鱼电子邮件。这些电子邮件中的大量使用官方政府或卫生组织品牌来获取合法性并使受害者措手不及。

优点:用户确实交出了他们的登录信息,包括密码——相对较高的命中率,很容易针对特定服务或鱼叉式网络钓鱼攻击中的特定人员进行定制。

缺点:垃圾邮件很容易被过滤,垃圾邮件域被列入黑名单,并且像谷歌这样的主要提供商会不断更新保护措施。

保持安全:对电子邮件保持怀疑,并将垃圾邮件过滤器提高到最高设置,或者更好的是,使用主动白名单。在单击之前使用链接检查器确定电子邮件链接是否合法。

  1. 社会工程学

社会工程本质上是现实世界中的网络钓鱼,远离屏幕。

任何安全审计的核心部分都是衡量整个员工的理解程度。例如,一家安全公司会打电话给他们正在审计的企业。“攻击者”在电话中告诉对方他们是新的办公室技术支持团队,他们需要最新的密码才能获得特定的密码。

毫无戒心的人可能会毫不犹豫地交出钥匙。

可怕的是它的工作频率。社会工程学已经存在了几个世纪。两面派进入安全区域是一种常见的攻击方法,只能通过教育加以防范。这是因为攻击并不总是直接要求输入密码。可能是假水管工或电工要求进入安全建筑物等。当有人说他们被骗泄露密码时,这通常是社会工程的结果。

优点:熟练的社会工程师可以从一系列目标中提取高价值信息。它可以部署在几乎任何地方的任何人身上。它非常隐蔽。

缺点:社会工程失败可能会引发对即将发生的攻击的怀疑,以及是否获得正确信息的不确定性。

保持安全:这是一个棘手的问题。当您意识到任何错误时,成功的社会工程攻击将完成。教育和安全意识是核心缓解策略。避免发布以后可能对您不利的个人信息。

  1. 彩虹桌
    md5哈希密码破解

彩虹表通常是离线密码攻击。例如,攻击者获得了用户名和密码列表,但它们是加密的。加密的密码是散列的。这意味着它看起来与原始密码完全不同。

例如,您的密码是(希望不是!)logmein。此密码的已知 MD5 哈希是“8f4047e3233b39e4444e1aef240e80aa”。

胡言乱语。但在某些情况下,攻击者会通过散列算法运行明文密码列表,将结果与加密的密码文件进行比较。在其他情况下,加密算法很容易受到攻击,并且大多数密码已经被破解,例如 MD5(因此我们知道“logmein”的特定哈希值。

这就是彩虹桌发挥作用的地方。彩虹表无需处理数十万个潜在密码并匹配其产生的哈希值,而是一组预先计算的特定于算法的哈希值。使用彩虹表大大减少了破解散列密码所需的时间——但它并不完美。黑客可以购买包含数百万种潜在组合的预填充彩虹表。

优点:可以在短时间内找出复杂的密码;在某些安全场景中授予黑客很大的权力。

缺点:需要大量空间来存储巨大(有时是 TB)的彩虹表。此外,攻击者仅限于表中包含的值(否则,他们必须添加另一个完整的表)。

保持安全:另一个棘手的问题。彩虹桌提供了广泛的攻击潜力。避免使用任何使用 SHA1 或 MD5 作为密码哈希算法的网站。避免使用任何限制您使用短密码或限制您可以使用的字符的网站。始终使用复杂的密码。

有关的:
如何判断网站是否将密码存储为明文(以及如何处理)

  1. 恶意软件/键盘记录器
    另一种丢失登录凭据的可靠方法是遭遇恶意软件。恶意软件无处不在,有可能造成巨大破坏。如果恶意软件变种具有键盘记录器,您可能会发现您的所有帐户都受到了损害。

或者,该恶意软件可能专门针对私人数据或引入远程访问木马来窃取您的凭据。

优点:数以千计的恶意软件变体,许多可定制,有几种简单的交付方法。大量目标很有可能会屈服于至少一种变体。它可以未被检测到,从而允许进一步收集私人数据和登录凭据。

缺点:恶意软件可能无法运行,或者在访问数据之前被隔离;不保证数据是有用的。

保持安全:安装并定期更新您的防病毒和反恶意软件。仔细考虑您的下载源。不要点击包含捆绑软件等的安装包。避开邪恶的网站(说起来容易做起来难)。使用脚本阻止工具阻止恶意脚本。

  1. 爬虫
    爬虫与字典攻击有关。如果黑客针对特定机构或企业,他们可能会尝试一系列与企业本身相关的密码。黑客可以阅读和整理一系列相关术语,或者使用搜索蜘蛛为它们完成工作。

您之前可能听说过“蜘蛛”这个词。这些搜索蜘蛛与那些通过互联网爬行的搜索蜘蛛非常相似,为搜索引擎索引内容。然后将自定义单词列表用于用户帐户,以期找到匹配项。

优点:可能会为组织内的高级人员解锁帐户。相对容易组合并为字典攻击增加了额外的维度。

缺点:如果组织网络安全配置得当,最终可能会徒劳无功。

保持安全:再次强调,只使用由随机字符串组成的强大的一次性密码;没有任何与您的角色、业务、组织等相关的内容。

  1. 肩部冲浪
    最后一个选项是最基本的选项之一。如果有人在您输入密码时只是看着您的肩膀怎么办?

肩部冲浪听起来有点荒谬,但它确实发生了。如果您在繁忙的市中心咖啡馆工作并且不注意周围环境,那么有人可能会在您输入密码时离您足够近以记下您的密码。

优点:窃取密码的低技术方法。

缺点:必须在确定密码之前识别目标;可以在偷窃的过程中暴露自己。

保持安全:输入密码时,请注意周围的人。在输入过程中盖住键盘并遮挡按键。

始终使用强、唯一、一次性的密码
那么,如何阻止黑客窃取您的密码呢?真正简短的回答是,您不可能真正做到 100% 安全。黑客用来窃取您数据的工具一直在变化,有无数关于猜测密码或学习如何破解密码的视频和教程。

有一件事是肯定的:使用强大的、唯一的、一次性的密码永远不会伤害任何人。