黑客使用的十大密码破解技术

了解黑客用来彻底打开您的在线帐户的密码破解技术是确保它永远不会发生在您身上的好方法。

黑客使用的十大密码破解技术

您肯定总是需要更改密码,有时甚至比您想象的更紧急,但防止盗窃是保持帐户安全的好方法。您可以随时前往 www.haveibeenpwned.com 来检查您是否面临风险,但仅仅认为您的密码足够安全而不会被黑客入侵是一种糟糕的心态。

因此,为了帮助您了解黑客如何获取您的密码 - 安全或其他方式 - 我们汇总了黑客使用的十大密码破解技术的列表。下面的一些方法肯定已经过时了,但这并不意味着它们不再被使用。仔细阅读并了解要缓解的问题。

黑客常用的十大密码破解技术

1.字典攻击

密码破解_-_字典

字典攻击使用一个简单的文件,其中包含可以在字典中找到的单词,因此它的名称相当简单。换句话说,这种攻击使用的正是许多人用作密码的那种词。

巧妙地将诸如“letmein”或“superadministratorguy”之类的词组合在一起不会阻止您的密码以这种方式被破解——好吧,不会超过几秒钟。

2. 蛮力攻击

与字典攻击类似,蛮力攻击为黑客带来了额外的好处。不是简单地使用单词,蛮力攻击让他们通过处理从 aaa1 到 zzz10 的所有可能的字母数字组合来检测非字典单词。

如果您的密码长度超过几个字符,这并不快,但它最终会发现您的密码。在处理能力(包括利用显卡 GPU 的能力)和机器数量(例如使用在线比特币矿工等分布式计算模型)方面,可以通过增加额外的计算能力来缩短蛮力攻击的时间。

3. 彩虹表攻击

彩虹表并不像它们的名字所暗示的那样丰富多彩,但对于黑客来说,你的密码很可能在它的末尾。以最直接的方式,您可以将彩虹表分解为预先计算的哈希列表——加密密码时使用的数值。该表包含任何给定散列算法的所有可能密码组合的散列值。彩虹表很有吸引力,因为它减少了破解密码哈希所需的时间,只需在列表中查找内容即可。

然而,彩虹桌是巨大而笨重的东西。它们需要强大的计算能力才能运行,如果在对算法进行散列运算之前通过在其密码中添加随机字符来“腌制”它试图查找的散列值,则该表将变得无用。

有关于存在盐渍彩虹表的讨论,但这些表太大以至于难以在实践中使用。他们可能只使用预定义的“随机字符”集和 12 个字符以下的密码字符串,否则即使是国家级黑客,表格的大小也会令人望而却步。

4. 钓鱼

密码破解_-_网络钓鱼

有一种简单的破解方法,即向用户询问他或她的密码。网络钓鱼电子邮件会将毫无戒心的读者引导至与黑客想要访问的任何服务相关联的欺骗登录页面,通常是通过要求用户解决一些严重的安全问题。该页面然后浏览他们的密码,黑客可以将其用于自己的目的。

当用户无论如何都会很乐意给你密码时,为什么还要费心去破解密码呢?

5. 社会工程学

社会工程学将整个“询问用户”的概念从网络钓鱼倾向于坚持的收件箱之外引入现实世界。

社会工程师的最爱是打电话给一个冒充 IT 安全技术人员的办公室,并简单地询问网络访问密码。你会惊讶于它的工作频率。有些人甚至有必要的性腺穿上西装和名牌,然后走进一家企业,面对面询问接待员同样的问题。

6. 恶意软件

键盘记录器或屏幕抓取工具可以由恶意软件安装,它会记录您在登录过程中键入的所有内容或截取屏幕截图,然后将此文件的副本转发到黑客中心。

某些恶意软件会寻找 Web 浏览器客户端密码文件的存在并复制该文件,除非正确加密,否则将包含用户浏览历史记录中易于访问的已保存密码。

7.离线破解

很容易想象,当密码被保护的系统在三四次错误猜测后锁定用户,阻止自动猜测应用程序时,密码是安全的。好吧,如果不是因为大多数密码黑客攻击都是离线进行的,使用密码文件中的一组哈希值是从受感染的系统“获取”的,那么这将是正确的。

通常,有问题的目标已通过对第三方的黑客攻击而受到损害,然后第三方提供对系统服务器和那些非常重要的用户密码哈希文件的访问。密码破解者可以在不警告目标系统或个人用户的情况下尝试破解密码。

8. 肩部冲浪

密码破解_-_shoulder_surfing

另一种形式的社会工程,肩部冲浪,正如它所暗示的那样,需要在一个人输入凭据、密码等时偷看他们的肩膀。虽然这个概念技术含量很低,但你会惊讶于有多少密码和敏感信息以这种方式被盗,因此在旅途中访问银行帐户等时请注意周围环境。

最有信心的黑客会伪装成包裹快递员、空调服务技术员或其他任何能让他们进入办公楼的东西。进入后,服务人员“制服”提供一种免费通行证,可以不受阻碍地四处走动,并记下真正工作人员输入的密码。它还提供了一个很好的机会来观察所有贴在 LCD 屏幕前面的便利贴,上面写有登录信息。

9. 爬虫

精明的黑客已经意识到,许多公司密码都是由与企业本身相关的词组成的。研究企业文献、网站销售材料,甚至竞争对手和上市客户的网站,都可以为构建自定义词表以用于暴力攻击提供弹药。

真正精明的黑客已经自动化了这个过程,并让一个蜘蛛应用程序,类似于领先的搜索引擎使用的网络爬虫来识别关键字,为它们收集和整理列表。

10. 猜一猜

当然,密码破解者最好的朋友是用户的可预测性。除非使用专用于该任务的软件创建了真正的随机密码,否则用户生成的“随机”密码不太可能是此类。

相反,由于我们的大脑对我们喜欢的事物的情感依恋,这些随机密码很可能是基于我们的兴趣、爱好、宠物、家庭等。事实上,密码往往基于我们喜欢在社交网络上谈论的所有内容,甚至包括在我们的个人资料中。密码破解者很可能会查看这些信息,并在不诉诸字典或蛮力攻击的情况下尝试破解消费者级别的密码时,做出一些(通常是正确的)有根据的猜测。

要注意的其他攻击

如果黑客缺乏任何东西,那就不是创造力。这些闯入者使用各种技术并适应不断变化的安全协议,继续取得成功。

例如,社交媒体上的任何人都可能看到过有趣的测验和模板,要求您谈论您的第一辆车、您最喜欢的食物、您 14 岁生日时的第一首歌。虽然这些游戏看起来无害并且发布起来当然很有趣,但它们实际上是安全问题和帐户访问验证答案的开放模板。

设置帐户时,也许可以尝试使用实际上与您无关但您可以轻松记住的答案。 “你的第一辆汽车是什么车?”与其如实回答,不如放上您的梦想之车。否则,请不要在网上发布任何安全答案。

另一种获得访问权限的方法是简单地重置您的密码。防止闯入者重置您的密码的最佳防线是使用您经常查看的电子邮件地址并及时更新您的联系信息。如果可用,请始终启用 2 因素身份验证。即使黑客知道了您的密码,他们也无法在没有唯一验证码的情况下访问该帐户。

经常问的问题

为什么每个站点都需要不同的密码?

您可能知道不应该泄露密码,也不应该下载任何您不熟悉的内容,但是您每天登录的帐户呢?假设您对银行帐户使用的密码与用于 Grammarly 等任意帐户的密码相同。如果 Grammarly 被黑了,那么用户也会拥有您的银行密码(可能还有您的电子邮件,可以更轻松地访问您的所有财务资源)。

我可以做些什么来保护我的帐户?

在提供该功能的任何帐户上使用 2FA、为每个帐户使用唯一的密码以及使用字母和符号的混合是抵御黑客的最佳防线。如前所述,黑客可以通过多种不同的方式访问您的帐户,因此您需要确保定期做的其他事情是使您的软件和应用程序保持最新(用于安全补丁)和避免任何您不熟悉的下载。

保存密码的最安全方法是什么?

跟上几个独特的奇怪密码可能非常困难。尽管完成密码重置过程比让您的帐户遭到入侵要好得多,但它非常耗时。为了确保您的密码安全,您可以使用 Last Pass 或 KeePass 等服务来保存您所有的帐户密码。

您还可以使用独特的算法来保存您的密码,同时使它们更容易记住。例如,PayPal 可能类似于 hwpp+c832。本质上,此密码是 URL (//www.paypal.com) 中每个中断的第一个字母,以及您家中每个人出生年份的最后一个数字(仅作为示例)。当您登录帐户时,查看 URL,该 URL 将为您提供此密码的前几个字母。

添加符号使您的密码更难破解,但要组织它们以便更容易记住。例如,“+”符号可以用于与娱乐相关的任何帐户,而“!”可用于金融账户。