在安全性方面,密码是最薄弱的环节之一。当不良行为者获得您的凭据的访问权限时,您的数据几乎肯定有被泄露的危险。黑客和数据泄露让所有 CIO 和 CISO 夜不能寐。为什么?因为几乎每个人都容易受到网络钓鱼攻击、凭证填充、键盘记录器等的攻击。这不是开玩笑。至少可以说,黑客和网络犯罪分子可用的工具和技术的数量令人难以置信。许多您甚至还没有听说过,而这仅仅是个开始。
在本文中,我们将从密码的角度研究最重要的网络安全威胁之一。我们将研究黑客用来获取密码的一些顶级工具和技术。我们还将查看有关生成、管理和保护密码的有用提示。如果这听起来很有趣,那么您绝对应该继续阅读本文。
顶级密码黑客方法
你认为第一次黑客攻击是什么时候发生的?你能想象它是在 1878 年贝尔电话开始出现的时候出现的吗?这是正确的。一群青少年被雇来操作总机,他们断开和误导了电话。然而,第一批真正的计算机黑客始于 1960 年代。
哦,时代变了。今天的黑客要复杂得多。还是他们?虽然一些技术非常复杂并使用专门设计的程序和工具,但其他技术非常简单并且依赖于幼稚。以下是黑客破解您密码的主要方式列表。
1) 凭证填充
想象一下,你是一名黑客,在暗网上购买了 100,000 个用户名、电子邮件和密码。顺便说一句,这些凭据可能是从弱网站、博客或电子商务网站上窃取的,然后在暗网上出售。
接下来,您开始针对其他数据库测试这些凭据以查看是否存在匹配项。例如,您可以获取您的列表并开始针对银行、商家和其他网站对其进行测试。一旦找到匹配项,您就进入了。
此外,所有这些都可以自动化。有一些工具可以跨多个站点测试被盗凭据,即使在具有良好安全性的站点上,黑客也可以快速入侵新帐户。据估计,每天使用凭证填充技术测试数以千万计的帐户。
2) 网络钓鱼攻击
如果您认为凭证填充很糟糕,那么网络钓鱼会更糟,因为您在不知不觉中向不良行为者提供了您的用户名和密码。据估计,近 70% 的网络犯罪始于网络钓鱼攻击。对于黑客来说,他们喜欢这种技术。窃取您的信息供他们自己使用或将其出售给黑暗网络上的其他人非常有效。
网络钓鱼攻击如何运作?我们很高兴你问...这很简单。黑客使用一种称为“社会工程”的技术来诱骗用户向他们认为来自合法网站、供应商或雇主的真实请求提供他们的凭据。
网络钓鱼攻击几乎总是通过包含欺诈链接或恶意附件的电子邮件来进行。当用户点击任何一个时,黑客都会显示一个虚假的帐户登录页面,用户在其中输入他们的凭据。黑客还可能使用其他形式的拦截作为中间人攻击来窃取用户凭据。
3) 密码喷洒
黑客可能只有一个用户名列表。这很常见。密码喷射是一种针对用户名或帐户测试常用密码的技术。示例包括 123456、password、password123、admin 等密码。您可能会认为这类似于凭证填充。你是对的……密码喷洒与凭证喷洒非常相似。据估计,这种技术有 16% 的时间用于破解密码和帐户。
大多数网站和登录现在都检测到来自同一 IP 的重复密码尝试。黑客使用大量 IP 来扩展他们在被检测到之前可以尝试的密码数量。它可能是前 5、10 或 100 个常用密码。
4) 键盘记录
键盘记录。这不是你想惹的事。键盘记录用于黑客知道或对受害者特别感兴趣的有针对性的攻击。它用于针对配偶、同事和亲戚。它还用于针对公司和民族国家。
这是一种高度复杂的技术,需要通过恶意软件访问或破坏受害者的机器。您可以在互联网和暗网上找到您最喜欢的现成键盘记录程序和商业间谍软件。
使用键盘记录器,您的密码强度实际上并不重要。黑客可以准确地看到您输入的用户名和密码。它非常适合访问银行账户、网站,尤其是无法撤销资金转移的加密货币交易所和钱包。
5)蛮力攻击
当您考虑复杂的黑客攻击时,您可能会想象詹姆斯邦德、碟中谍或出生身份等电影中的场景。好吧,蛮力攻击可能是你最接近真实的詹姆斯邦德场景的地方。
它们是最少使用的,这是一件好事。蛮力攻击难以实施,咨询时间长且成本高昂。黑客使用 Aircrack-ng、John The Ripper 和 DaveGrohl 等工具尝试对凭据进行暴力攻击。
有两种类型的攻击。字典攻击使用字典中的每个单词作为密码。上面提到的工具可以在几秒钟内运行和测试整个字典。另一种类型涉及使用纯文本密码的哈希。目标是散列尽可能多的纯文本密码以找到匹配项。存在彩虹表,其中列出了常用密码短语的哈希值以加快处理速度。
创建强密码的提示
如前所述,有复杂的黑客和简单的黑客,但有一个不变的——糟糕的用户名和密码策略和知识。以下是创建强密码的重要提示。
1) 使用至少 10 个字符的密码
您的密码应至少包含 10 个字符。我知道,这听起来很多。长尾、复杂的密码真的很难破解。为了使您的密码复杂但令人难忘,请使用多种类型的字符、大小写字母和符号的混合。
2) 不要在密码中使用个人信息
您应该避免使用个人信息,因为这些是黑客试图利用的第一个选项。试图破解您帐户的黑客可能已经知道您的地址、街道、电话号码、配偶姓名、孩子姓名、宠物名称、生日、纪念日等个人详细信息。他们将使用该信息来帮助您更轻松地猜出您的密码。
3)不要使用常用密码
这是您可以使用密码的最大错误之一。不要使用“密码”或“123456”等常用密码。这些是一些最容易破解的密码,可能导致严重的数据泄露或访问重要帐户。
4)不要使用常用的字典单词
这是一个非常难以实施的方法,但您应该避免使用常用的字典单词。暴力攻击中经常使用常用的字典词。此外,使用两个常用的字典词不会使您的密码更安全地抵御攻击。例如,不要使用“Red”、“Cars”或“RedCars”。如果可以的话,实际上最好拼错或拼写单词。相反,请使用“RedddCarzz”之类的内容。您还想在其中添加一些其他字符类型。
5) 使用带有特殊字符的复杂密码
我提到你不应该使用常用的字典单词。下一步是通过添加特殊字符来增加复杂性。这包括用数字和标点符号替换字母。这里有一些想法可以帮助您创建高度复杂、拼写异常且唯一的密码。完全安全密码!= T0ttallySecur3Pa55w0rd5!BeyondComplexPass# = B3yondc0mp1exPa$$# 就这么容易。使用短语或单词,然后将其与快捷方式、昵称和首字母缩略词混合使用。使用快捷方式、缩写、大小写字母可提供简单易记但受保护的密码。
7) 使用容易记住的短语
当您不记得密码时,这真的很令人沮丧。一种替代方法是创建一个短语,然后通过缩短它、添加昵称、拼写错误和首字母缩略词来混合它。这将提供一个易于记忆但安全的密码。这是一个例子。使用一些你只会知道的东西,比如你的大学地址之一,你支付了多少租金或毕业时间。CollegeRoodStHouse$750 = C0llegeR00dStHouse$750$ 确保混淆单词。
8)为不同的帐户使用不同的密码
您应该为不同的帐户使用不同的密码。我知道,这似乎很痛苦,但如果您在多个帐户中使用相同的密码并且您的凭据被泄露,那么您使用这些凭据的所有帐户现在都容易受到攻击。
9) 使用密码生成器和管理器工具
对于所有规模大小的企业而言,实施强密码策略以及培训和执行它们都是一项艰巨的任务。由于我们每天访问大量网站和帐户,因此没有合乎逻辑的方法来记住每个帐户的不同密码。此外,将它们写下来或存储它们可能是另一个安全风险。
除了记住密码之外,密码管理器还可以帮助您的用户生成强密码。您的用户将不得不记住一个根密码,而不是记住 15-20 个密码。现在,您必须记住,强大的 root 密码和 2FA 至关重要,否则黑客可能会破解您的密码管理器工具。
10) 使用两因素身份验证
这是您可以拥有的最重要的密码保护策略之一。什么是双重身份验证?双因素身份验证,也称为 2FA,是一个两步验证程序,或 TFA。它不仅需要用户名和密码,还需要只有该用户拥有的东西。
例如,在输入您的用户名和密码后,您可能需要使用电子邮件、电话或 2FA 代码生成器进一步验证。这增加了额外的安全级别,并提醒用户注意潜在的黑客攻击。
