解碼的8種典型手段與防護建議

現在，我們的生活越來越離不開網路，資料安全成了一場24小時不停歇的攻防戰。

事實上很多網路攻擊可能只涉及一件事——破解你的密碼！！

如果有人能獲取你的賬戶密碼，那根本無需任何花哨的駭客技術，就可以輕鬆竊取你的數字資產。

" 未知攻,焉知防"，為更有效地提升安全防護水平，應瞭解攻擊者如何使用下述8種策略來解碼。

01 字典攻擊
在常用密碼攻擊技術指南中，“字典攻擊”位居首位。之所以稱之為“字典攻擊”是因為它會自動對已定義的“字典”中的每個單詞進行密碼測試。

當然，這裡的字典可不是你在學校用的那本，而是一個包含最常用密碼組合的小檔案，其中包括123456、qwerty、password、iloveyou、hunter2等等。
研究人員發現，很多脆弱、容易破解的密碼長期保持不變，只是順序略有不同而已。如果你不想別人知道你的密碼，永遠不要使用這些經常被使用的弱密碼。

防護建議：
儘可能使用密碼管理工具，為每個業務賬戶設定一個強大且單一的密碼。密碼管理器允許使用者將各種密碼安全地儲存在一個資料庫中。然後你就可以為每個系統使用強大、複雜、安全的密碼，同時不用擔心密碼遺忘。

02 暴力破解
暴力破解（brute force），又名暴力攻擊、暴力猜解，從數學和邏輯學的角度，它屬於窮舉法在現實場景的運用。當攻擊者獲得密碼雜湊時，就會使用暴力破解來嘗試登入使用者賬戶，即透過利用大量猜測和窮舉的方式來嘗試獲取使用者口令的攻擊方式。在實際應用中，暴力破解通常有如下四種技術形態：

1. Password Guessing （密碼猜測）： 在不瞭解賬戶密碼的情況下，攻擊者可能會在操作過程中透過使用常用密碼字典來猜測登入密碼，而無須事先了解系統或環境密碼。

2. Password Cracking （密碼破解）： 當獲得憑證材料（例如密碼雜湊）時，攻擊者可能會嘗試解密密碼來恢復可用的憑據，例如純文字密碼。

3. Password Spraying （密碼噴灑）： 由於使用多個密碼來暴力破解一個賬號可能會導致該賬號被鎖定，攻擊者可能會針對許多不同賬戶使用單個或少量的常用密碼列表，以嘗試獲取有效賬戶憑據。

4. Credential Stuffing （撞庫）： 攻擊者可以使用受害者歷史上洩露的資料獲得憑據，透過憑據重疊來訪問目標賬戶。

防護建議

·       更多使用可變的字元組合，在可能的情況下，引入額外的符號來增加複雜性；

·       在使用者登入時增加驗證碼，防止透過程式自動列舉賬戶；

·       確保所有型別的驗證碼能夠“用後即失效”，防止被重用；

·       在使用者登入中增加對同一IP地址嘗試次數的限制；

·       定期對比資料庫儲存的密碼密文值與Top500弱密碼的密文值。

03 網路釣魚
網路釣魚並非嚴格意義上的“駭客攻擊”，但受害者通常會有非常糟糕的結局。一般的網路釣魚郵件會被髮送給全球各地各種各樣的網際網路使用者，這絕對是盜取密碼最流行的方式之一。目標使用者會收到一封偽造的電子郵件，聲稱是來自一個知名組織或企業。欺詐郵件會強調緊急性，並突出一個網站連結。這個連結實際上連線到一個虛假的登入門戶，只是它們看起來幾乎和合法網站完全一樣。只要受害使用者輸入他們的登入憑據，密碼就會暴露。
研究發現，目前惡意郵件附件的數量很高，卡巴斯基僅在2021年就攔截了超過1.48億個惡意附件。此外，卡巴斯基的反網路釣魚系統還攔截了另外2.53億個網路釣魚連結。而這只是來自卡巴斯基系統的資料，所以實際釣魚郵件數量要高得多。
防護建議

·       加強網路安全意識培養，對收到的電子郵件永遠保持懷疑態度；

·       將垃圾郵件過濾器設定到最高階別；

·       在可能的情況下，使用主動白名單；

·       在點選郵件附件之前，使用連結檢查器確定電子郵件連結是否合法。

04 社會工程
社會工程的本質就是在現實世界中的網路釣魚。

攻擊者透過電話等方式，告訴被攻擊者，他們是新的辦公室技術支援團隊，需要其配合提供某些應用的密碼進行測試或驗證。

一個毫無戒心的人往往會毫不猶豫地交出密碼。可怕的是這種情況經常發生。

社會工程已經存在了幾個世紀。欺騙他人以進入安全區域是一種常見的攻擊方法，只有透過教育才能防範。當有人稱他們被騙洩露了密碼時，這通常都是社會工程的結果。

防護建議
成功的社會工程攻擊在你意識到有問題的時候已經完成了。教育和安全意識是一個核心的緩解策略。同時，還應該避免釋出個人資訊，以免日後被攻擊者用來欺騙。

05 彩虹表（Rainbow Table）攻擊
彩虹表本質上是一種破解使用者密碼的輔助工具，主要是透過建立“明文->密文”對應關係的資料庫，破解時透過密文直接反查明文。

舉個簡單的例子：如果將雜湊的密文比喻成一把鎖，暴力破解的方式就是現場製作各種齒輪的鑰匙進行嘗試能否開鎖，這個鑰匙可能需要幾十億幾百億甚至更多，耗費的時間無疑非常的長，還不一定能夠破解。

而彩虹表就是事先做好大量的鑰匙，並將鑰匙按照某種規律進行分組，每組鑰匙中只需要帶最具特徵的一把，然後用這些特徵鑰匙去嘗試開鎖，當發現某把特徵鑰匙差一點就能開鎖了，則當場對該鑰匙進行現場打磨，直到能開鎖為止。這樣就會大大縮短找鑰匙開鎖的時間。
彩虹表可以自己程式設計來生成，也可以使用RainbowCrack或Cain等軟體來生成。當然，更簡單的方式是直接購買預先填充的彩虹表，其中包含數百萬個潛在的組合。

防護建議
彩虹表提供了廣泛的攻擊潛力，是非常棘手的問題。因此，請避免以SHA1或MD5作為密碼雜湊演算法的任何網站或系統。同時，可以採用“加鹽（Salt）”措施，即在密碼的特定位置插入特定的字串，這個特定字串就是“鹽”，加鹽後的密碼雜湊串與加鹽前的雜湊串完全不同，駭客用彩虹表得到的密碼不再是真正的密碼。即便駭客知道了“鹽”的內容、加鹽的位置，還需要對函式進行修改，彩虹表也需要重新生成，因此加鹽能大大增加彩虹表攻擊的難度。

06鍵盤記錄
有一種能竊取登入密碼的惡意軟體工具。惡意軟體無處不在，有可能造成巨大的破壞。如果惡意軟體變種帶有鍵盤記錄器，將有能力破壞你所有的賬戶。或者，惡意軟體可以專門針對隱私資料或引入遠端訪問木馬來竊取你的密碼。

防護建議

·       安裝並定期更新防毒軟體和防病毒程式；

·       在下載應用程式時，要仔細考慮下載來源；

·       不要點選包含捆綁包和更多內容的安裝包；

·       遠離惡意/流氓網站，並使用指令碼攔截工具攔截惡意指令碼。

07爬行（Spidering）收集
主流的搜尋引擎往往會不斷地派發爬蟲去瀏覽全網，首先找到各種頁面，然後將頁面上的文字和程式碼複製並儲存在它們巨大的索引伺服器上，這一過程就叫做爬行。大多陣列織會使用包含公司資訊的密碼。這些資訊可以透過公司網站、社交媒體等途徑獲取。爬行就是從這些來源收集資訊以提供單詞列表，隨後用於執行字典攻擊和暴力破解。

防護建議

·       使用由隨機字串組成的強大且唯一的密碼；

·       確保密碼與你的角色、業務、組織等無關。

08 肩窺（Shoulder Surfing）
肩窺指使用直接的觀察技術，站在別人身後，或越過肩膀探看別人操作進而獲取密碼。

肩窺是一種獲取密碼的有效方法，因為當別人填表、在ATM機上輸入PIN碼、甚至在地鐵等公共場合用手機或電腦打字發訊息時，比較容易站在旁邊觀察。此外，肩窺也可以透過使用雙筒望遠鏡或者其它視覺增強裝置來實現遠距離觀察。

防護建議
當輸入密碼時，要留意周圍的人，並遮蓋住輸入裝置及按鍵動作。

近年來，隨著雲端計算、物聯網、區塊鏈、人工智慧、邊緣計算等新技術、新應用的興起，人們工作生活更加便捷，隨之而來的是諸多新業務場景需要更加全面的資料資訊保安保護。陝西CA作為陝西省政府指定的全省電子政務資訊保安建設支撐單位，也是《中華人民共和國電子簽名法》依法設立的電子認證服務機構，面向政務、醫療、公共資源、教育等各有關領域、行業提供基於密碼技術支撐的可信身份認證、各類電子文書籤署和符合密評、密改的適配等服務。