在安全性方面,密碼是最薄弱的環節之一。當不良行為者獲得您的憑據的訪問權限時,您的數據幾乎肯定有被泄露的危險。黑客和數據泄露讓所有 CIO 和 CISO 夜不能寐。為什么?因為幾乎每個人都容易受到網絡釣魚攻擊、憑證填充、鍵盤記錄器等的攻擊。這不是開玩笑。至少可以說,黑客和網絡犯罪分子可用的工具和技術的數量令人難以置信。許多您甚至還沒有聽說過,而這僅僅是個開始。
在本文中,我們將從密碼的角度研究最重要的網絡安全威脅之一。我們將研究黑客用來獲取密碼的一些頂級工具和技術。我們還將查看有關生成、管理和保護密碼的有用提示。如果這聽起來很有趣,那么您絕對應該繼續閱讀本文。
頂級密碼黑客方法
你認為第一次黑客攻擊是什么時候發生的?你能想象它是在 1878 年貝爾電話開始出現的時候出現的嗎?這是正確的。一群青少年被雇來操作總機,他們斷開和誤導了電話。然而,第一批真正的計算機黑客始于 1960 年代。
哦,時代變了。今天的黑客要復雜得多。還是他們?雖然一些技術非常復雜并使用專門設計的程序和工具,但其他技術非常簡單并且依賴于幼稚。以下是黑客破解您密碼的主要方式列表。
1) 憑證填充
想象一下,你是一名黑客,在暗網上購買了 100,000 個用戶名、電子郵件和密碼。順便說一句,這些憑據可能是從弱網站、博客或電子商務網站上竊取的,然后在暗網上出售。
接下來,您開始針對其他數據庫測試這些憑據以查看是否存在匹配項。例如,您可以獲取您的列表并開始針對銀行、商家和其他網站對其進行測試。一旦找到匹配項,您就進入了。
此外,所有這些都可以自動化。有一些工具可以跨多個站點測試被盜憑據,即使在具有良好安全性的站點上,黑客也可以快速入侵新帳戶。據估計,每天使用憑證填充技術測試數以千萬計的帳戶。
2) 網絡釣魚攻擊
如果您認為憑證填充很糟糕,那么網絡釣魚會更糟,因為您在不知不覺中向不良行為者提供了您的用戶名和密碼。據估計,近 70% 的網絡犯罪始于網絡釣魚攻擊。對于黑客來說,他們喜歡這種技術。竊取您的信息供他們自己使用或將其出售給黑暗網絡上的其他人非常有效。
網絡釣魚攻擊如何運作?我們很高興你問...這很簡單。黑客使用一種稱為“社會工程”的技術來誘騙用戶向他們認為來自合法網站、供應商或雇主的真實請求提供他們的憑據。
網絡釣魚攻擊幾乎總是通過包含欺詐鏈接或惡意附件的電子郵件來進行。當用戶點擊任何一個時,黑客都會顯示一個虛假的帳戶登錄頁面,用戶在其中輸入他們的憑據。黑客還可能使用其他形式的攔截作為中間人攻擊來竊取用戶憑據。
3) 密碼噴灑
黑客可能只有一個用戶名列表。這很常見。密碼噴射是一種針對用戶名或帳戶測試常用密碼的技術。示例包括 123456、password、password123、admin 等密碼。您可能會認為這類似于憑證填充。你是對的……密碼噴灑與憑證噴灑非常相似。據估計,這種技術有 16% 的時間用于破解密碼和帳戶。
大多數網站和登錄現在都檢測到來自同一 IP 的重復密碼嘗試。黑客使用大量 IP 來擴展他們在被檢測到之前可以嘗試的密碼數量。它可能是前 5、10 或 100 個常用密碼。
4) 鍵盤記錄
鍵盤記錄。這不是你想惹的事。鍵盤記錄用于黑客知道或對受害者特別感興趣的有針對性的攻擊。它用于針對配偶、同事和親戚。它還用于針對公司和民族國家。
這是一種高度復雜的技術,需要通過惡意軟件訪問或破壞受害者的機器。您可以在互聯網和暗網上找到您最喜歡的現成鍵盤記錄程序和商業間諜軟件。
使用鍵盤記錄器,您的密碼強度實際上并不重要。黑客可以準確地看到您輸入的用戶名和密碼。它非常適合訪問銀行賬戶、網站,尤其是無法撤銷資金轉移的加密貨幣交易所和錢包。
5)蠻力攻擊
當您考慮復雜的黑客攻擊時,您可能會想象詹姆斯邦德、碟中諜或出生身份等電影中的場景。好吧,蠻力攻擊可能是你最接近真實的詹姆斯邦德場景的地方。
它們是最少使用的,這是一件好事。蠻力攻擊難以實施,咨詢時間長且成本高昂。黑客使用 Aircrack-ng、John The Ripper 和 DaveGrohl 等工具嘗試對憑據進行暴力攻擊。
有兩種類型的攻擊。字典攻擊使用字典中的每個單詞作為密碼。上面提到的工具可以在幾秒鐘內運行和測試整個字典。另一種類型涉及使用純文本密碼的哈希。目標是散列盡可能多的純文本密碼以找到匹配項。存在彩虹表,其中列出了常用密碼短語的哈希值以加快處理速度。
創建強密碼的提示
如前所述,有復雜的黑客和簡單的黑客,但有一個不變的——糟糕的用戶名??和密碼策略和知識。以下是創建強密碼的重要提示。
1) 使用至少 10 個字符的密碼
您的密碼應至少包含 10 個字符。我知道,這聽起來很多。長尾、復雜的密碼真的很難破解。為了使您的密碼復雜但令人難忘,請使用多種類型的字符、大小寫字母和符號的混合。
2) 不要在密碼中使用個人信息
您應該避免使用個人信息,因為這些是黑客試圖利用的第一個選項。試圖破解您帳戶的黑客可能已經知道您的地址、街道、電話號碼、配偶姓名、孩子姓名、寵物名稱、生日、紀念日等個人詳細信息。他們將使用該信息來幫助您更輕松地猜出您的密碼。
3)不要使用常用密碼
這是您可以使用密碼的最大錯誤之一。不要使用“密碼”或“123456”等常用密碼。這些是一些最容易破解的密碼,可能導致嚴重的數據泄露或訪問重要帳戶。
4)不要使用常用的字典單詞
這是一個非常難以實施的方法,但您應該避免使用常用的字典單詞。暴力攻擊中經常使用常用的字典詞。此外,使用兩個常用的字典詞不會使您的密碼更安全地抵御攻擊。例如,不要使用“Red”、“Cars”或“RedCars”。如果可以的話,實際上最好拼錯或拼寫單詞。相反,請使用“RedddCarzz”之類的內容。您還想在其中添加一些其他字符類型。
5) 使用帶有特殊字符的復雜密碼
我提到你不應該使用常用的字典單詞。下一步是通過添加特殊字符來增加復雜性。這包括用數字和標點符號替換字母。這里有一些想法可以幫助您創建高度復雜、拼寫異常且唯一的密碼。完全安全密碼!= T0ttallySecur3Pa55w0rd5!BeyondComplexPass# = B3yondc0mp1exPa$$# 就這么容易。使用短語或單詞,然后將其與快捷方式、昵稱和首字母縮略詞混合使用。使用快捷方式、縮寫、大小寫字母可提供簡單易記但受保護的密碼。
7) 使用容易記住的短語
當您不記得密碼時,這真的很令人沮喪。一種替代方法是創建一個短語,然后通過縮短它、添加昵稱、拼寫錯誤和首字母縮略詞來混合它。這將提供一個易于記憶但安全的密碼。這是一個例子。使用一些你只會知道的東西,比如你的大學地址之一,你支付了多少租金或畢業時間。CollegeRoodStHouse$750 = C0llegeR00dStHouse$750$ 確保混淆單詞。
8)為不同的帳戶使用不同的密碼
您應該為不同的帳戶使用不同的密碼。我知道,這似乎很痛苦,但如果您在多個帳戶中使用相同的密碼并且您的憑據被泄露,那么您使用這些憑據的所有帳戶現在都容易受到攻擊。
9) 使用密碼生成器和管理器工具
對于所有規模大小的企業而言,實施強密碼策略以及培訓和執行它們都是一項艱巨的任務。由于我們每天訪問大量網站和帳戶,因此沒有合乎邏輯的方法來記住每個帳戶的不同密碼。此外,將它們寫下來或存儲它們可能是另一個安全風險。
除了記住密碼之外,密碼管理器還可以幫助您的用戶生成強密碼。您的用戶將不得不記住一個根密碼,而不是記住 15-20 個密碼。現在,您必須記住,強大的 root 密碼和 2FA 至關重要,否則黑客可能會破解您的密碼管理器工具。
10) 使用兩因素身份驗證
這是您可以擁有的最重要的密碼保護策略之一。什么是雙重身份驗證?雙因素身份驗證,也稱為 2FA,是一個兩步驗證程序,或 TFA。它不僅需要用戶名和密碼,還需要只有該用戶擁有的東西。
例如,在輸入您的用戶名和密碼后,您可能需要使用電子郵件、電話或 2FA 代碼生成器進一步驗證。這增加了額外的安全級別,并提醒用戶注意潛在的黑客攻擊。
