現(xiàn)在，我們的生活越來越離不開網(wǎng)絡(luò)，數(shù)據(jù)安全成了一場(chǎng)24小時(shí)不停歇的攻防戰(zhàn)。

事實(shí)上很多網(wǎng)絡(luò)攻擊可能只涉及一件事——破解你的密碼！！

如果有人能獲取你的賬戶密碼，那根本無需任何花哨的黑客技術(shù)，就可以輕松竊取你的數(shù)字資產(chǎn)。

"未知攻,焉知防"，為更有效地提升安全防護(hù)水平，應(yīng)了解攻擊者如何使用下述8種策略來破解密碼。

01字典攻擊在常用密碼攻擊技術(shù)指南中，“字典攻擊”位居首位。之所以稱之為“字典攻擊”是因?yàn)樗鼤?huì)自動(dòng)對(duì)已定義的“字典”中的每個(gè)單詞進(jìn)行密碼測(cè)試。

當(dāng)然，這里的字典可不是你在學(xué)校用的那本，而是一個(gè)包含最常用密碼組合的小文件，其中包括123456、qwerty、password、iloveyou、hunter2等等。

研究人員發(fā)現(xiàn)，很多脆弱、容易破解的密碼長期保持不變，只是順序略有不同而已。如果你不想別人知道你的密碼，永遠(yuǎn)不要使用這些經(jīng)常被使用的弱密碼。

防護(hù)建議：盡可能使用密碼管理工具，為每個(gè)業(yè)務(wù)賬戶設(shè)置一個(gè)強(qiáng)大且單一的密碼。密碼管理器允許用戶將各種密碼安全地存儲(chǔ)在一個(gè)數(shù)據(jù)庫中。然后你就可以為每個(gè)系統(tǒng)使用強(qiáng)大、復(fù)雜、安全的密碼，同時(shí)不用擔(dān)心密碼遺忘。

02暴力破解暴力破解（brute force），又名暴力攻擊、暴力猜解，從數(shù)學(xué)和邏輯學(xué)的角度，它屬于窮舉法在現(xiàn)實(shí)場(chǎng)景的運(yùn)用。當(dāng)攻擊者獲得密碼哈希時(shí)，就會(huì)使用暴力破解來嘗試登錄用戶賬戶，即通過利用大量猜測(cè)和窮舉的方式來嘗試獲取用戶口令的攻擊方式。在實(shí)際應(yīng)用中，暴力破解通常有如下四種技術(shù)形態(tài)：

1. Password Guessing（密碼猜測(cè)）：在不了解賬戶密碼的情況下，攻擊者可能會(huì)在操作過程中通過使用常用密碼字典來猜測(cè)登錄密碼，而無須事先了解系統(tǒng)或環(huán)境密碼。
2. Password Cracking（密碼破解）：當(dāng)獲得憑證材料（例如密碼哈希）時(shí)，攻擊者可能會(huì)嘗試解密密碼來恢復(fù)可用的憑據(jù)，例如純文本密碼。
3. Password Spraying（密碼噴灑）：由于使用多個(gè)密碼來暴力破解一個(gè)賬號(hào)可能會(huì)導(dǎo)致該賬號(hào)被鎖定，攻擊者可能會(huì)針對(duì)許多不同賬戶使用單個(gè)或少量的常用密碼列表，以嘗試獲取有效賬戶憑據(jù)。
4. Credential Stuffing（撞庫）：攻擊者可以使用受害者歷史上泄露的數(shù)據(jù)獲得憑據(jù)，通過憑據(jù)重疊來訪問目標(biāo)賬戶。

防護(hù)建議

• 更多使用可變的字符組合，在可能的情況下，引入額外的符號(hào)來增加復(fù)雜性；
• 在用戶登錄時(shí)增加驗(yàn)證碼，防止通過程序自動(dòng)枚舉賬戶；
• 確保所有類型的驗(yàn)證碼能夠“用后即失效”，防止被重用；
• 在用戶登錄中增加對(duì)同一IP地址嘗試次數(shù)的限制；
• 定期對(duì)比數(shù)據(jù)庫存儲(chǔ)的密碼密文值與Top500弱密碼的密文值。

03網(wǎng)絡(luò)釣魚網(wǎng)絡(luò)釣魚并非嚴(yán)格意義上的“黑客攻擊”，但受害者通常會(huì)有非常糟糕的結(jié)局。一般的網(wǎng)絡(luò)釣魚郵件會(huì)被發(fā)送給全球各地各種各樣的互聯(lián)網(wǎng)用戶，這絕對(duì)是盜取密碼最流行的方式之一。目標(biāo)用戶會(huì)收到一封偽造的電子郵件，聲稱是來自一個(gè)知名組織或企業(yè)。欺詐郵件會(huì)強(qiáng)調(diào)緊急性，并突出一個(gè)網(wǎng)站鏈接。這個(gè)鏈接實(shí)際上連接到一個(gè)虛假的登錄門戶，只是它們看起來幾乎和合法網(wǎng)站完全一樣。只要受害用戶輸入他們的登錄憑據(jù)，密碼就會(huì)暴露。研究發(fā)現(xiàn)，目前惡意郵件附件的數(shù)量很高，卡巴斯基僅在2021年就攔截了超過1.48億個(gè)惡意附件。此外，卡巴斯基的反網(wǎng)絡(luò)釣魚系統(tǒng)還攔截了另外2.53億個(gè)網(wǎng)絡(luò)釣魚鏈接。而這只是來自卡巴斯基系統(tǒng)的數(shù)據(jù)，所以實(shí)際釣魚郵件數(shù)量要高得多。防護(hù)建議

• 加強(qiáng)網(wǎng)絡(luò)安全意識(shí)培養(yǎng)，對(duì)收到的電子郵件永遠(yuǎn)保持懷疑態(tài)度；
• 將垃圾郵件過濾器設(shè)置到最高級(jí)別；
• 在可能的情況下，使用主動(dòng)白名單；
• 在點(diǎn)擊郵件附件之前，使用鏈接檢查器確定電子郵件鏈接是否合法。

04社會(huì)工程社會(huì)工程的本質(zhì)就是在現(xiàn)實(shí)世界中的網(wǎng)絡(luò)釣魚。

攻擊者通過電話等方式，告訴被攻擊者，他們是新的辦公室技術(shù)支持團(tuán)隊(duì)，需要其配合提供某些應(yīng)用的密碼進(jìn)行測(cè)試或驗(yàn)證。

一個(gè)毫無戒心的人往往會(huì)毫不猶豫地交出密碼。可怕的是這種情況經(jīng)常發(fā)生。

社會(huì)工程已經(jīng)存在了幾個(gè)世紀(jì)。欺騙他人以進(jìn)入安全區(qū)域是一種常見的攻擊方法，只有通過教育才能防范。當(dāng)有人稱他們被騙泄露了密碼時(shí)，這通常都是社會(huì)工程的結(jié)果。

防護(hù)建議成功的社會(huì)工程攻擊在你意識(shí)到有問題的時(shí)候已經(jīng)完成了。教育和安全意識(shí)是一個(gè)核心的緩解策略。同時(shí)，還應(yīng)該避免發(fā)布個(gè)人信息，以免日后被攻擊者用來欺騙。

05彩虹表（Rainbow Table）攻擊彩虹表本質(zhì)上是一種破解用戶密碼的輔助工具，主要是通過建立“明文->密文”對(duì)應(yīng)關(guān)系的數(shù)據(jù)庫，破解時(shí)通過密文直接反查明文。

舉個(gè)簡(jiǎn)單的例子：如果將哈希的密文比喻成一把鎖，暴力破解的方式就是現(xiàn)場(chǎng)制作各種齒輪的鑰匙進(jìn)行嘗試能否開鎖，這個(gè)鑰匙可能需要幾十億幾百億甚至更多，耗費(fèi)的時(shí)間無疑非常的長，還不一定能夠破解。

而彩虹表就是事先做好大量的鑰匙，并將鑰匙按照某種規(guī)律進(jìn)行分組，每組鑰匙中只需要帶最具特征的一把，然后用這些特征鑰匙去嘗試開鎖，當(dāng)發(fā)現(xiàn)某把特征鑰匙差一點(diǎn)就能開鎖了，則當(dāng)場(chǎng)對(duì)該鑰匙進(jìn)行現(xiàn)場(chǎng)打磨，直到能開鎖為止。這樣就會(huì)大大縮短找鑰匙開鎖的時(shí)間。彩虹表可以自己編程來生成，也可以使用RainbowCrack或Cain等軟件來生成。當(dāng)然，更簡(jiǎn)單的方式是直接購買預(yù)先填充的彩虹表，其中包含數(shù)百萬個(gè)潛在的組合。

防護(hù)建議彩虹表提供了廣泛的攻擊潛力，是非常棘手的問題。因此，請(qǐng)避免以SHA1或MD5作為密碼哈希算法的任何網(wǎng)站或系統(tǒng)。同時(shí)，可以采用“加鹽（Salt）”措施，即在密碼的特定位置插入特定的字符串，這個(gè)特定字符串就是“鹽”，加鹽后的密碼哈希串與加鹽前的哈希串完全不同，黑客用彩虹表得到的密碼不再是真正的密碼。即便黑客知道了“鹽”的內(nèi)容、加鹽的位置，還需要對(duì)函數(shù)進(jìn)行修改，彩虹表也需要重新生成，因此加鹽能大大增加彩虹表攻擊的難度。

06鍵盤記錄有一種能竊取登錄密碼的惡意軟件工具。惡意軟件無處不在，有可能造成巨大的破壞。如果惡意軟件變種帶有鍵盤記錄器，將有能力破壞你所有的賬戶。或者，惡意軟件可以專門針對(duì)隱私數(shù)據(jù)或引入遠(yuǎn)程訪問木馬來竊取你的密碼。

防護(hù)建議

• 安裝并定期更新殺毒軟件和防病毒程序；
• 在下載應(yīng)用程序時(shí)，要仔細(xì)考慮下載來源；
• 不要點(diǎn)擊包含捆綁包和更多內(nèi)容的安裝包；
• 遠(yuǎn)離惡意/流氓網(wǎng)站，并使用腳本攔截工具攔截惡意腳本。

07爬行（Spidering）收集主流的搜索引擎往往會(huì)不斷地派發(fā)爬蟲去瀏覽全網(wǎng)，首先找到各種頁面，然后將頁面上的文本和代碼復(fù)制并儲(chǔ)存在它們巨大的索引服務(wù)器上，這一過程就叫做爬行。

大多數(shù)組織會(huì)使用包含公司信息的密碼。這些信息可以通過公司網(wǎng)站、社交媒體等途徑獲取。爬行就是從這些來源收集信息以提供單詞列表，隨后用于執(zhí)行字典攻擊和暴力破解。

防護(hù)建議

• 使用由隨機(jī)字符串組成的強(qiáng)大且唯一的密碼；
• 確保密碼與你的角色、業(yè)務(wù)、組織等無關(guān)。

08肩窺（Shoulder Surfing）肩窺指使用直接的觀察技術(shù)，站在別人身后，或越過肩膀探看別人操作進(jìn)而獲取密碼。

肩窺是一種獲取密碼的有效方法，因?yàn)楫?dāng)別人填表、在ATM機(jī)或POS機(jī)上輸入PIN碼、甚至在地鐵等公共場(chǎng)合用手機(jī)或電腦打字發(fā)消息時(shí)，比較容易站在旁邊觀察。此外，肩窺也可以通過使用雙筒望遠(yuǎn)鏡或者其它視覺增強(qiáng)設(shè)備來實(shí)現(xiàn)遠(yuǎn)距離觀察。

防護(hù)建議當(dāng)輸入密碼時(shí)，要留意周圍的人，并遮蓋住輸入設(shè)備及按鍵動(dòng)作。

近年來，隨著云計(jì)算、物聯(lián)網(wǎng)、區(qū)塊鏈、人工智能、邊緣計(jì)算等新技術(shù)、新應(yīng)用的興起，人們工作生活更加便捷，隨之而來的是諸多新業(yè)務(wù)場(chǎng)景需要更加全面的數(shù)據(jù)信息安全保護(hù)。陜西CA作為陜西省政府指定的全省電子政務(wù)信息安全建設(shè)支撐單位，也是《中華人民共和國電子簽名法》依法設(shè)立的電子認(rèn)證服務(wù)機(jī)構(gòu)，面向政務(wù)、醫(yī)療、公共資源、教育等各有關(guān)領(lǐng)域、行業(yè)提供基于密碼技術(shù)支撐的可信身份認(rèn)證、各類電子文書簽署和符合密評(píng)、密改的適配等服務(wù)。