😊All Things N
按主題查看 Windows macOS Linux Android iPhone 遊戲 人工智慧
😊All Things N

Contents

9 個最常見的密碼破解技巧

 included in Security Password Tips Online Security Hacking Security Tips
   137 words   One minute 

要點

您的密碼是保護網絡空間數字資產的重要手段。如果您選擇易於猜測或流行的密碼,惡意行為者可能很容易破譯它並損害您帳戶的完整性。

為了防止未經授權的訪問,黑客採用一系列策略(例如基於字典的攻擊、暴力入侵和偽裝襲擊)來破壞密碼安全。用戶必須採用由不同字符類型組成的強大且多方面的密碼,以阻止這些網絡入侵嘗試。

警惕網絡釣魚詐騙,此類詐騙通常通過電子郵件或其他形式的通信採用欺騙策略,試圖獲取登錄憑據等個人信息。在收到未經請求的消息時,尤其是那些看起來可疑或要求敏感數據的消息時,務必要小心謹慎。為了進一步保護自己免受潛在威脅,請考慮使用信譽良好的密碼管理工具,並確保所有軟件都保持最新狀態並安裝了最新的安全補丁。

聽到“安全漏洞”一詞,人們可能會想像一個人,例如熟練的網絡犯罪分子,在充滿動態數字顯示器的高科技控制室內進行操作,讓人想起《黑客帝國》系列電影中的標誌性視覺效果。或者,它可能會讓人聯想到一個孤獨且不善社交的青少年長時間盯著電腦屏幕的畫面,在不確定的時間內被限制在地下避難所的黑暗中。此外,有些人可能會考慮強大的計算系統設計巧妙的方法來破壞全球安全措施的可能性。

黑客攻擊的最終目標是揭露個人的密碼。事實上,如果網絡犯罪分子通過試錯法或其他基本手段成功破譯個人密碼,他們就沒有必要採用先進的黑客策略或訪問強大的計算資源。相反,在知道正確密碼的情況下,這些人能夠通過偽裝成合法帳戶持有人來無縫地獲得未經授權的訪問。此外,值得注意的是,缺乏複雜性和長度的密碼對此類入侵嘗試幾乎沒有抵抗力。

為了有效保護個人的數字信息,重要的是要了解網絡犯罪分子在嘗試未經授權訪問敏感數據時採用的各種策略。九種此類方法已被確定為在黑客中特別流行。

通過我們的免費課程體驗電子郵件安全的藝術,該課程旨在為您提供必要的知識和技術,以保護您的收件箱免受潛在威脅。立即註冊以提升您的數字保護措施。

字典破解

在密碼破解領域,採用的最基本的方法被稱為字典攻擊。該技術涉及通過輸入預定“字典”中包含的每個單詞來系統地嘗試破譯密碼。與普遍的看法相反,這本詞典不必局限於傳統的學術多樣性;相反,它可以包含在技術手冊甚至在線論壇等各種來源中找到的各種術語。

這個特定的詞典包含最常用密碼序列的緊湊檔案,從而簡化了確定個人機密密碼的過程。該彙編中包括“123456”、“qwerty”、“password”、“iloveyou”等條目,以及永恆的最愛“hunter2”。

/bc/images/top-20-leaked-passwords-2016.jpg

上述表格概述了 2020 年發生的密碼洩露事件,突出顯示了最常被洩露並暴露給未經授權的個人的密碼洩露事件。

/bc/images/top-20-leaked-passwords-2020.jpg

鑑於這兩種情況的相似之處,必須避免使用這種基本的替代方案。此外,人們可能會思考自 2023 年以來是否取得了任何進展。事實上,我們進一步舉例說明了最常被洩露的密碼選項的另一選擇,以強調它們的有害性質。

/bc/images/top-30-most-leaked-passowrds-2023.jpg

從本質上講,如果希望保持密碼的機密性,建議不要使用任何一種方法。

該工具的優點包括速度快,因為它能夠輕鬆快速解鎖某些高度安全的帳戶。

密碼強度是密碼安全的一個重要方面,由於技術和加密技術的進步,即使相對較強的密碼也可能隨著時間的推移保持安全。但是,需要注意的是,沒有任何密碼可以抵御所有可能的攻擊方法或暴力嘗試。因此,必須為每個帳戶使用獨特、複雜的密碼,並根據需要定期更新。此外,利用多重身份驗證 (MFA) 可以提供除單一密碼之外的額外保護層。

為了確保在線使用多個帳戶時的安全,建議為每個單獨帳戶使用強大的一次性密碼,並結合可靠的密碼管理應用程序來存儲其他登錄憑據。這種方法可以在所有網站上使用高效且簡單的密碼,從而無需記住大量複雜的代碼。值得注意的是,大多數網絡瀏覽器現在都內置了密碼管理器。然而,獨立的密碼管理解決方案通常被認為更安全。

蠻力

接下來我們進行暴力攻擊,攻擊者係統地嘗試滿足複雜性規則指定的要求的所有可能的字符組合,例如合併至少一個大寫字母、一個小寫字母、來自 pi 的符號或數字,甚至您最喜歡的披薩配料。

暴力攻擊通常從嘗試最流行的字母數字字符序列開始,除了“1q2w3e4r5t”、“zxcvbnm”和基本的“qwertyuiop”等簡化變體之外,還包括前面提到的熟悉的密碼。通過這種方法破譯加密消息的效率取決於所選密碼的固有復雜性。

所提出的方法有可能通過對所有可能的組合進行詳盡的嘗試來成功破解密碼。

使用更長、更複雜的密碼的潛在缺點是用戶可能難以記住它們。此外,結合特殊字符、數字和符號會成倍增加可能的組合數量,使密碼破解工作更加費力和耗時。

為了確保使用密碼時的安全,建議您在密碼中混合使用各種字符,最好還包含其他符號。這種做法使未經授權的個人更難破解或猜測您的密碼,從而增強了安全性。

面具攻擊

在某些情況下,當個人掌握密碼的部分知識並嘗試確定其餘部分時,他們推斷整個密碼的能力可能會增強。這種現象通常稱為“密碼猜測”或“暴力攻擊”。通過利用通過社交工程策略、惡意軟件感染或數據洩露等各種手段獲得的信息片段,網絡犯罪分子可以加快密碼破譯的過程。因此,採用結合多重身份驗證 (MFA) 和定期密碼更新的強大身份驗證機制可以顯著降低未經授權訪問敏感數字資產的風險。

掩碼密碼攻擊是指犯罪者可以訪問目標密碼的某些部分,從而通過對剩餘未指定字符進行反复嘗試來更有效地識別完整密碼的方法。這種方法類似於暴力攻擊,涉及對各種密碼組合進行系統測試,直到發現正確的組合。

暴力攻擊的優點包括能夠利用足夠的計算資源和時間來揭示任何密碼,同時還利用目標密碼中可能包含的字符組合的先驗知識,從而與顯式暴力方法相比加快了該過程。

儘管利用了密碼 123 的熟練程度並且長密碼中存在不尋常的字符,“破解上述組合可能具有挑戰性或不可能。

為了確保您的在線安全,重要的是使用長度和字符組成多樣化的強大密碼。通過使用此類措施,您可以幫助保護自己免受潛在的網絡威脅。

網絡釣魚

雖然不是傳統意義上的實際黑客攻擊,但遭受網絡釣魚或魚叉式網絡釣魚攻擊通常會導致不良後果。網絡釣魚電子郵件數量達數十億,並在全球範圍內分發給各個互聯網用戶,是獲取密碼等敏感信息的最常見方法之一。

網絡釣魚電子郵件的工作原理通常如下:

電子郵件的收件人受到欺詐性通信的影響,該通信似乎是由知名機構或公司發送的。

一封偽裝成來自可信賴來源的合法通信的電子郵件已被巧妙地創建和傳播,其中嵌入了一個迫切需要人們立即關注的 URL。

所提供的超鏈接會指向一個仿製登錄頁面,該頁面在外觀和設計上與正品非常相似。

輸入登錄信息後,不知情的用戶可能會被引導或提示重新嘗試該過程。

通過非法手段獲得的憑證可能會被用於未經授權訪問敏感信息和系統。

全球每天發送的垃圾郵件量仍然很高,佔全球發送的所有電子郵件的一半以上。此外,惡意附件的數量也很高,2022 年 卡巴斯基攔截 惡意附件超過 1.66 億個,1800 萬歐元但更令人震驚的數字是被攔截的網絡釣魚鏈接數量,從2021 年的2.53 億上升到了5.07 億。記住,這只是卡巴斯基的數據,所以真實數字要高得多。

/bc/images/kaspersky-spam-phishing-report-2022-top-level-domains.jpg /bc/images/kaspersky-spam-phishing-report-2022-victim-countries-chart.jpg /bc/images/kaspersky-spam-phishing-report-2022-targets-pie-chart.jpg /bc/images/kaspersky-spam-phishing-report-2022-malicious-attachment-chart.jpg /bc/images/kaspersky-spam-phishing-report-2022-spam-as-share-of-traffic-chart.jpg 關閉

早在 2017 年,最大的網絡釣魚誘餌就是虛假髮票。然而,2020 年,COVID-19 大流行帶來了新的網絡釣魚威脅。 2020 年4 月,在許多國家進入大流行封鎖後不久,[ Google ](http://blog.google/technology/safety-security/threat-analysis-group/findings-covid-19-and-online-security-威脅/)宣布每天攔截超過 1800 萬封以 COVID-19 為主題的惡意垃圾郵件和網絡釣魚電子郵件。大量此類電子郵件使用官方政府或衛生組織品牌來獲取合法性,讓受害者措手不及。

這種方式的好處是,用戶需要提供登錄憑據,登錄憑據的成功率相對較高,並且可以針對魚叉式網絡釣魚等針對性攻擊進行定制。

雖然過濾和黑名單等措施確實可以有效地打擊垃圾郵件,但這些方法可能並不總是能保證完全防範惡意郵件。值得注意的是,網絡犯罪分子不斷開發新策略來繞過這些安全措施,這使得個人和組織保持警惕並積極主動地防止垃圾郵件進入收件箱成為持續的挑戰。此外,反垃圾郵件措施的有效性可能會因所使用的特定提供商或平台而異,並且這些保護措施的更新可能並不總是立即到達用戶手中。因此,僅僅依靠第三方解決方案來打擊垃圾郵件可能無法提供全面的解決方案。

通過採用嚴格的垃圾郵件過濾器、利用最嚴格的設置甚至選擇高級白名單措施,在處理未經請求的電子郵件時保持謹慎。此外,建議在使用值得信賴的鏈接驗證工具單擊電子郵件鏈接之前,通過徹底檢查來驗證電子郵件鏈接。

社會工程學

社會工程包含一系列利用人類心理學來操縱個人洩露敏感信息或為攻擊者的利益執行某些操作的策略。這種方法通常發生在數字領域之外,涉及面對面的互動或其他非技術手段。

任何安全評估的一個關鍵方面都涉及評估組織員工的理解程度。例如,安全公司可以通過冒充新的辦公技術支持團隊來聯繫被審計的實體,並請求當前密碼來訪問特定的系統或資源。

一個謙遜的人可能會毫不猶豫地交出鑰匙卡。

社會工程學的可怕之處在於它從過去的時代一直到今天都盛行。用於突破安全邊界的欺騙策略已被廣泛用作有效的滲透手段,儘管主要是通過宣傳活動來抵消的。此類攻擊可能並不總是明確要求密碼;相反,他們可以冒充維護人員,尋求進入禁區。在許多情況下,當個人聲稱在不知情的情況下泄露了他們的登錄憑據時,此類事件可以追溯到社會工程策略的陰險影響。

熟練的社會工程師的專業知識可以輕鬆地從各種目標中提取有價值的信息。這項技術用途廣泛,可以在任何情況或地點使用。此外,其謹慎的性質使這些專家能夠在不被發現的情況下獲取敏感數據,這可能有助於通過微妙的方式破解密碼。

在網絡安全攻擊中利用社會工程的一個潛在缺點是,它可能會導致無法操縱個人,這可能會引起人們對即將發生的攻擊的懷疑,並導致人們懷疑是否已獲得準確的數據。

保持警惕至關重要,以避免成為狡猾的社會工程策略的受害者,因為這些攻擊由於其隱秘性,往往可以在不被發現的情況下成功。為了最大限度地減少此類事件發生的風險,必須營造教育環境並提高個人的安全意識。此外,避免洩露可能被惡意行為者利用的敏感個人數據也是一項重要的預防措施。

彩虹表

/bc/images/md5-hash-example-logmein.jpg

彩虹表通常用於離線密碼攻擊,例如當個人獲得出於安全目的而經過加密編碼的用戶名-密碼組合名冊時。由於此加密過程,實際密碼的外觀與其原始形式相比發生了很大變化。

事實上,舉例來說,為了保持更高級別的安全性,一個人的密碼很可能不是“logmein”。在這種情況下,與該假設密碼相對應的預先計算的 MD5 哈希值將是“8f4047e3233b39e4444e1aef240e80aa”。

就你和我自己的理解而言,這種表達構成了胡言亂語。然而,在特定情況下,犯罪者可能會通過加密函數處理未加密的密碼名冊,並將結果與​​編碼的密碼數據庫進行比較。相反,如果編碼方法存在弱點,則許多密碼已經被破譯,例如通過 MD5 保護的密碼,這解釋了我們對“LogMeIn”附加的精確哈希的熟悉程度。

彩虹表是一種有效的工具,通過利用預先計算的特定算法哈希值的大型數據庫來破解哈希密碼,而不是處理大量潛在密碼並將它們與各自的哈希值進行比較。雖然這種方法顯著減少了破解密碼所需的時間,但該過程仍然存在缺陷,因為黑客可能會獲得包含數百萬種可能組合的預填充彩虹表。

該密碼破解工具可以非常有效地在相對較短的時間內破譯複雜的密碼,從而使攻擊者能夠對各種網絡安全情況進行重大控制和影響。

利用彩虹表來破解密碼存在一定的缺點。其中一個缺點是這些表需要相當大的存儲容量,通常跨越多個 TB,這對於某些個人或組織來說可能不切實際或不可行。此外,這種方法的有效性受到表格本身內容的限制;如果嘗試的密碼未出現在其範圍內,則必須使用附加表。

為了確保您的安全,使用彩虹桌時務必小心謹慎。這些工具具有相當大的滲透能力,在使用 SHA1 或 MD5 作為密碼哈希方法的網站上應避免使用這些工具。此外,避免訪問對密碼長度或字符選擇施加嚴格限制的平台,並始終選擇強大的密碼。

惡意軟件/鍵盤記錄器

放棄登錄憑據的某種方法涉及成為惡意軟件的受害者。此類軟件普遍存在並可能造成重大損害。如果特定菌株包含擊鍵記錄器,則可以想像您的所有帳戶都可能受到威脅。

或者,惡意軟件可能專注於獲取敏感信息或部署遠程訪問木馬來竊取登錄憑據。此外,它可以檢查網絡基礎設施,以獲取通過明文傳輸的未加密密碼,而不是通過中間人攻擊攔截。如果組織依賴於以可讀文本格式公開發送此類憑據,則密碼洩露的風險會顯著增加。

惡意軟件的流行已經蔓延到智能手機和平板電腦等移動設備領域。就像通過下載鍵盤記錄器或惡意軟件來危害計算機一樣,這些手持設備同樣容易受到安全漏洞的影響。鑑於其應用程序眾多,需要密碼才能訪問,這使得它們很容易被針對金融機構、社交網絡和其他在線服務的惡意軟件竊取敏感信息。

惡意軟件提供的優勢有很多,因為它提供了一系列可以根據特定要求進行定制的各種變種。此外,存在多種方便的分發方式,這增加了成功滲透到大量目標受害者中的可能性。這種威脅的隱蔽性使其能夠逃避檢測,同時繼續利用敏感的個人信息和登錄憑據。

存在這樣的可能性:惡意軟件在獲得對所需信息的訪問之前可能無法有效運行或被隔離在隔離區中,而且,所獲得的數據的價值也無法確定。

為了確保安全,安裝並持續更新防病毒和反惡意軟件至關重要。下載時請務必小心,避免捆綁安裝包和可疑網站。此外,利用腳本阻止工具來阻止任何可能構成威脅的有害腳本。

蜘蛛抓取

利用蜘蛛抓取技術可以結合到針對目標機構或企業的字典攻擊中。在這種情況下,嘗試未經授權的訪問的個人可能會系統地嘗試與所討論的特定組織相關的各種密碼組合。或者,個人可以通過使用網絡爬行軟件(通常稱為“蜘蛛”)來採用自動化手段,該軟件可以自動從在線資源收集相關單詞或短語的列表。通過這樣做,網絡犯罪分子可以加快他們的努力,更有效地發現有效的登錄憑據。

蜘蛛,無論是網絡爬行的蜘蛛還是搜索引擎索引的蜘蛛,與遍歷互聯網、為搜索引擎編目信息的蜘蛛有著驚人的相似之處。在這種情況下,隨後針對用戶帳戶憑證採用所利用的自定義詞彙列表,以嘗試識別相應的匹配。

利用該工具可以訪問公司內有影響力的成員的帳戶信息,同時其組裝相對簡化,並且為暴力攻擊增加了額外的複雜性。

存在一個潛在的缺點,如果組織內現有的網絡安全措施得到有效實施和優化,這種努力可能會被證明是徒勞的。

為了確保安全,建議您為每個帳戶創建唯一且複雜的密碼,該密碼不包含與您或您的組織相關的任何個人或專業信息。

肩衝浪

另一種實施起來相對簡單的解決方案涉及在個人輸入登錄憑據時謹慎監視他們,目的是通過觀察獲得對其帳戶的未經授權的訪問。

肩衝浪看似滑稽,但卻是一個普遍存在的問題。與人們可能認為難以置信的網絡安全漏洞類似,肩窺也可能發生在繁華的城市環境中,人們無法關注自己的環境。因此,竊聽者可以通過觀察受害者在設備上輸入密碼來獲取受害者的密碼,儘管這種方法可能不是訪問敏感信息的最實用方法。

還採用了一種極簡的獲取密碼的方法,它採用基本的手段,避免複雜或先進的技術。

為了利用這種技術,必須首先確定預期目標,然後根據該信息建立密碼。但這樣做,在獲取敏感數據的過程中存在暴露自己的風險。

請注意,在輸入密碼時要小心謹慎,注意周圍環境,尤其是那些可能試圖觀察或記錄您擊鍵的人。此外,請考慮使用隱私屏幕或其他方式來隱藏鍵盤並防止未經授權的訪問您的敏感信息。

保護您的在線帳戶免遭密碼盜竊的 5 種方法

雖然實現完全安全以防止未經授權訪問登錄憑據可能具有挑戰性,但可以採取各種措施來顯著降低網絡攻擊的風險。重要的是要認識到網絡犯罪分子不斷開發違反安全協議的新技術,從而使以前的保護方法變得過時。因此,個人必須保持警惕並相應地調整防禦措施。

使用強大且獨特的一次性密碼對於安全目的至關重要。如果密碼洩露,利用這一單一憑證將限制對一個帳戶的未經授權的訪問。

考慮使用有效的防病毒或反惡意軟件軟件解決方案,以確保為您的設備提供充分的保護。此外,升級到 Malwarebytes Premium 可增強跨多個設備的安全性,從而提供針對潛在威脅的全面防禦。

雖然更新軟件可能被認為是一個乏味的過程,但必須認識到與使用過時程序相關的潛在風險。這些風險可能包括存在安全漏洞,最終可能導致登錄憑據受損。因此,分配足夠的時間進行更新以維護數字資產的完整性至關重要。

處理電子郵件附件時請務必小心,僅從可信來源打開它們。在打開任何可疑文件之前,使用可靠的防病毒軟件程序徹底掃描它們。如果對附件的真實性有任何疑問,建議不要繼續打開。

強烈建議擁有多個在線帳戶的個人使用密碼管理器,因為它們提供了一種有效且安全的存儲登錄憑據的方法。通過利用這些工具,用戶可以確保其敏感信息免受潛在的網絡威脅,同時還降低網絡釣魚攻擊的風險。選擇具有強大安全功能的信譽良好的密碼管理器並定期更新其軟件以領先於新出現的漏洞非常重要。

維護密碼的安全並不是一項孤立的任務;相反,它需要實施各種策略來持續保護您的帳戶信息。

讓密碼破解變得困難!

通過了解網絡犯罪分子未經授權訪問個人信息的普遍方法,人們可以更好地保護其數字資產。通過實施有效的安全措施並註意潛在的漏洞,可以大大降低成為密碼相關洩露受害者的可能性。

Updated on 2023-09-14
Back | Home