在安全性方面,密碼是最薄弱的環(huán)節(jié)之一。當(dāng)不良行為者獲得您的憑據(jù)的訪問權(quán)限時,您的數(shù)據(jù)幾乎肯定有被泄露的危險。黑客和數(shù)據(jù)泄露讓所有 CIO 和 CISO 夜不能寐。為什么?因為幾乎每個人都容易受到網(wǎng)絡(luò)釣魚攻擊、憑證填充、鍵盤記錄器等的攻擊。這不是開玩笑。至少可以說,黑客和網(wǎng)絡(luò)犯罪分子可用的工具和技術(shù)的數(shù)量令人難以置信。許多您甚至還沒有聽說過,而這僅僅是個開始。
在本文中,我們將從密碼的角度研究最重要的網(wǎng)絡(luò)安全威脅之一。我們將研究黑客用來獲取密碼的一些頂級工具和技術(shù)。我們還將查看有關(guān)生成、管理和保護(hù)密碼的有用提示。如果這聽起來很有趣,那么您絕對應(yīng)該繼續(xù)閱讀本文。
頂級密碼黑客方法
你認(rèn)為第一次黑客攻擊是什么時候發(fā)生的?你能想象它是在 1878 年貝爾電話開始出現(xiàn)的時候出現(xiàn)的嗎?這是正確的。一群青少年被雇來操作總機(jī),他們斷開和誤導(dǎo)了電話。然而,第一批真正的計算機(jī)黑客始于 1960 年代。
哦,時代變了。今天的黑客要復(fù)雜得多。還是他們?雖然一些技術(shù)非常復(fù)雜并使用專門設(shè)計的程序和工具,但其他技術(shù)非常簡單并且依賴于幼稚。以下是黑客破解您密碼的主要方式列表。
1) 憑證填充
想象一下,你是一名黑客,在暗網(wǎng)上購買了 100,000 個用戶名、電子郵件和密碼。順便說一句,這些憑據(jù)可能是從弱網(wǎng)站、博客或電子商務(wù)網(wǎng)站上竊取的,然后在暗網(wǎng)上出售。
接下來,您開始針對其他數(shù)據(jù)庫測試這些憑據(jù)以查看是否存在匹配項。例如,您可以獲取您的列表并開始針對銀行、商家和其他網(wǎng)站對其進(jìn)行測試。一旦找到匹配項,您就進(jìn)入了。
此外,所有這些都可以自動化。有一些工具可以跨多個站點測試被盜憑據(jù),即使在具有良好安全性的站點上,黑客也可以快速入侵新帳戶。據(jù)估計,每天使用憑證填充技術(shù)測試數(shù)以千萬計的帳戶。
2) 網(wǎng)絡(luò)釣魚攻擊
如果您認(rèn)為憑證填充很糟糕,那么網(wǎng)絡(luò)釣魚會更糟,因為您在不知不覺中向不良行為者提供了您的用戶名和密碼。據(jù)估計,近 70% 的網(wǎng)絡(luò)犯罪始于網(wǎng)絡(luò)釣魚攻擊。對于黑客來說,他們喜歡這種技術(shù)。竊取您的信息供他們自己使用或?qū)⑵涑鍪劢o黑暗網(wǎng)絡(luò)上的其他人非常有效。
網(wǎng)絡(luò)釣魚攻擊如何運作?我們很高興你問...這很簡單。黑客使用一種稱為“社會工程”的技術(shù)來誘騙用戶向他們認(rèn)為來自合法網(wǎng)站、供應(yīng)商或雇主的真實請求提供他們的憑據(jù)。
網(wǎng)絡(luò)釣魚攻擊幾乎總是通過包含欺詐鏈接或惡意附件的電子郵件來進(jìn)行。當(dāng)用戶點擊任何一個時,黑客都會顯示一個虛假的帳戶登錄頁面,用戶在其中輸入他們的憑據(jù)。黑客還可能使用其他形式的攔截作為中間人攻擊來竊取用戶憑據(jù)。
3) 密碼噴灑
黑客可能只有一個用戶名列表。這很常見。密碼噴射是一種針對用戶名或帳戶測試常用密碼的技術(shù)。示例包括 123456、password、password123、admin 等密碼。您可能會認(rèn)為這類似于憑證填充。你是對的……密碼噴灑與憑證噴灑非常相似。據(jù)估計,這種技術(shù)有 16% 的時間用于破解密碼和帳戶。
大多數(shù)網(wǎng)站和登錄現(xiàn)在都檢測到來自同一 IP 的重復(fù)密碼嘗試。黑客使用大量 IP 來擴(kuò)展他們在被檢測到之前可以嘗試的密碼數(shù)量。它可能是前 5、10 或 100 個常用密碼。
4) 鍵盤記錄
鍵盤記錄。這不是你想惹的事。鍵盤記錄用于黑客知道或?qū)κ芎φ咛貏e感興趣的有針對性的攻擊。它用于針對配偶、同事和親戚。它還用于針對公司和民族國家。
這是一種高度復(fù)雜的技術(shù),需要通過惡意軟件訪問或破壞受害者的機(jī)器。您可以在互聯(lián)網(wǎng)和暗網(wǎng)上找到您最喜歡的現(xiàn)成鍵盤記錄程序和商業(yè)間諜軟件。
使用鍵盤記錄器,您的密碼強(qiáng)度實際上并不重要。黑客可以準(zhǔn)確地看到您輸入的用戶名和密碼。它非常適合訪問銀行賬戶、網(wǎng)站,尤其是無法撤銷資金轉(zhuǎn)移的加密貨幣交易所和錢包。
5)蠻力攻擊
當(dāng)您考慮復(fù)雜的黑客攻擊時,您可能會想象詹姆斯邦德、碟中諜或出生身份等電影中的場景。好吧,蠻力攻擊可能是你最接近真實的詹姆斯邦德場景的地方。
它們是最少使用的,這是一件好事。蠻力攻擊難以實施,咨詢時間長且成本高昂。黑客使用 Aircrack-ng、John The Ripper 和 DaveGrohl 等工具嘗試對憑據(jù)進(jìn)行暴力攻擊。
有兩種類型的攻擊。字典攻擊使用字典中的每個單詞作為密碼。上面提到的工具可以在幾秒鐘內(nèi)運行和測試整個字典。另一種類型涉及使用純文本密碼的哈希。目標(biāo)是散列盡可能多的純文本密碼以找到匹配項。存在彩虹表,其中列出了常用密碼短語的哈希值以加快處理速度。
創(chuàng)建強(qiáng)密碼的提示
如前所述,有復(fù)雜的黑客和簡單的黑客,但有一個不變的——糟糕的用戶名??和密碼策略和知識。以下是創(chuàng)建強(qiáng)密碼的重要提示。
1) 使用至少 10 個字符的密碼
您的密碼應(yīng)至少包含 10 個字符。我知道,這聽起來很多。長尾、復(fù)雜的密碼真的很難破解。為了使您的密碼復(fù)雜但令人難忘,請使用多種類型的字符、大小寫字母和符號的混合。
2) 不要在密碼中使用個人信息
您應(yīng)該避免使用個人信息,因為這些是黑客試圖利用的第一個選項。試圖破解您帳戶的黑客可能已經(jīng)知道您的地址、街道、電話號碼、配偶姓名、孩子姓名、寵物名稱、生日、紀(jì)念日等個人詳細(xì)信息。他們將使用該信息來幫助您更輕松地猜出您的密碼。
3)不要使用常用密碼
這是您可以使用密碼的最大錯誤之一。不要使用“密碼”或“123456”等常用密碼。這些是一些最容易破解的密碼,可能導(dǎo)致嚴(yán)重的數(shù)據(jù)泄露或訪問重要帳戶。
4)不要使用常用的字典單詞
這是一個非常難以實施的方法,但您應(yīng)該避免使用常用的字典單詞。暴力攻擊中經(jīng)常使用常用的字典詞。此外,使用兩個常用的字典詞不會使您的密碼更安全地抵御攻擊。例如,不要使用“Red”、“Cars”或“RedCars”。如果可以的話,實際上最好拼錯或拼寫單詞。相反,請使用“RedddCarzz”之類的內(nèi)容。您還想在其中添加一些其他字符類型。
5) 使用帶有特殊字符的復(fù)雜密碼
我提到你不應(yīng)該使用常用的字典單詞。下一步是通過添加特殊字符來增加復(fù)雜性。這包括用數(shù)字和標(biāo)點符號替換字母。這里有一些想法可以幫助您創(chuàng)建高度復(fù)雜、拼寫異常且唯一的密碼。完全安全密碼!= T0ttallySecur3Pa55w0rd5!BeyondComplexPass# = B3yondc0mp1exPa$$# 就這么容易。使用短語或單詞,然后將其與快捷方式、昵稱和首字母縮略詞混合使用。使用快捷方式、縮寫、大小寫字母可提供簡單易記但受保護(hù)的密碼。
7) 使用容易記住的短語
當(dāng)您不記得密碼時,這真的很令人沮喪。一種替代方法是創(chuàng)建一個短語,然后通過縮短它、添加昵稱、拼寫錯誤和首字母縮略詞來混合它。這將提供一個易于記憶但安全的密碼。這是一個例子。使用一些你只會知道的東西,比如你的大學(xué)地址之一,你支付了多少租金或畢業(yè)時間。CollegeRoodStHouse$750 = C0llegeR00dStHouse$750$ 確保混淆單詞。
8)為不同的帳戶使用不同的密碼
您應(yīng)該為不同的帳戶使用不同的密碼。我知道,這似乎很痛苦,但如果您在多個帳戶中使用相同的密碼并且您的憑據(jù)被泄露,那么您使用這些憑據(jù)的所有帳戶現(xiàn)在都容易受到攻擊。
9) 使用密碼生成器和管理器工具
對于所有規(guī)模大小的企業(yè)而言,實施強(qiáng)密碼策略以及培訓(xùn)和執(zhí)行它們都是一項艱巨的任務(wù)。由于我們每天訪問大量網(wǎng)站和帳戶,因此沒有合乎邏輯的方法來記住每個帳戶的不同密碼。此外,將它們寫下來或存儲它們可能是另一個安全風(fēng)險。
除了記住密碼之外,密碼管理器還可以幫助您的用戶生成強(qiáng)密碼。您的用戶將不得不記住一個根密碼,而不是記住 15-20 個密碼。現(xiàn)在,您必須記住,強(qiáng)大的 root 密碼和 2FA 至關(guān)重要,否則黑客可能會破解您的密碼管理器工具。
10) 使用兩因素身份驗證
這是您可以擁有的最重要的密碼保護(hù)策略之一。什么是雙重身份驗證?雙因素身份驗證,也稱為 2FA,是一個兩步驗證程序,或 TFA。它不僅需要用戶名和密碼,還需要只有該用戶擁有的東西。
例如,在輸入您的用戶名和密碼后,您可能需要使用電子郵件、電話或 2FA 代碼生成器進(jìn)一步驗證。這增加了額外的安全級別,并提醒用戶注意潛在的黑客攻擊。
