密码破解方法
暴力破解
暴力破解可能是最臭名昭著的密码破解形式。 顾名思义,它并不是特别复杂——这是一种试错方法,网络犯罪分子相当于中世纪军队的攻城槌。 主要有以下三种类型:
简单的暴力破解:黑客会选择一个目标,然后尝试许多非常基本的常见密码(例如Password123),希望受害者使用了弱凭据。
字典攻击:虽然字典攻击不被认为是真正的暴力破解技术,但它仍然体现了试错精神。 在这些攻击中,黑客将尝试字典中的所有单词(尽管通常会简化为常见单词/短语),用数字替换字母。 这是一种相对麻烦的暴力破解帐户的方法。
反向暴力破解:在反向暴力攻击中,攻击者不会针对一个用户名尝试大量密码,而是针对大量用户名尝试一个密码,这些用户名通常在数据泄露期间在线泄露。
如前所述,现在有一些工具可以自动执行大部分暴力破解过程,因此黑客可以在几分钟内尝试数千个密码。
撞库
一旦黑客猜出了一个站点的目标密码,他们就可以使用一种称为“凭据填充”的技术破解其他站点的密码。
简而言之,黑客会在一系列其他流行网站(例如 Facebook 或 Twitter)上尝试一个网站的用户名和密码组合。 这就是为什么不要在多个帐户中重复密码如此重要的原因。
彩虹表攻击
正如我们之前提到的,为了避免存储庞大的纯文本密码凭据数据库,而是存储“哈希”密钥。 这是密码转换成的一串值,可用于将来的身份验证。
当用户返回站点时,他们输入的密码将转换为哈希值,并与给定网站数据库中存储的哈希值进行交叉引用。
彩虹表实际上是常用纯文本密码及其相应哈希值的索引,因此可用于猜测密码。
黑客获取您密码的其他方式
手动破解密码并不是黑客获取目标密码的唯一方式,例如,钓鱼攻击也经常被用来获取密码。
以密码为中心 网络钓鱼攻击,黑客会伪装成合法公司,并要求受害者在该公司网站的假版本中输入密码。
黑客没有花时间破解密码,而是使用如下电子邮件诱骗用户自己交出密码(图片来源:联邦贸易委员会):
密码安全不仅仅在于让您的密码足够长和复杂,还在于对您输入详细信息的位置保持谨慎。
中间人攻击——威胁行为者将自己置于两个系统之间,其中一个或两个系统都以某种方式受到损害——也被证明对于想要窃取凭证的网络犯罪分子来说是一种有效的策略。
黑客获取您密码的另一种方法是通过数据泄露。 黑客不再针对个人,而是针对公司,希望找到网络漏洞并从其存储的数据中提取密码/哈希数据。
除了确保您只将个人数据移交给具有良好安全基础设施和干净记录记录的公司外,您几乎无法采取任何措施来阻止数据泄露。 但是,如果您及时了解有关该主题的最新新闻,那么您将能够快速响应并在受到影响时更改密码。 有些密码管理器甚至会在出现影响您的信息的违规行为时向您发出警报,并可能导致良好的数据卫生习惯。
