通过对密码进行破解,网络犯罪分子可以获得对他人账户的访问权限,进而冒充或盗用他人的身份,进而窃取敏感甚至机密信息,或为自己谋取钱财利益。当然,这种行为是非授权的、不法的。对此,昆明亭长朗然科技有限公司网络安全专员董志军表示:有许多技术可用于破解密码,接下来,我们将简单快速地分享一些最常用的方法。
- 字典攻击法。此方法使用单词表即字典中的词汇,与用户密码进行比较。如果用户使用某些英文词汇,则很容易被此法破解。
- 蛮力攻击法。此方法类似于字典攻击。蛮力攻击使用结合字母、数字和符号的算法来提供攻击密码。例如,蛮力攻击可以将值“password”的密码尝试为p@$$word。对于一些简单的甚至英文词汇的变形,蛮力攻击亦可在一定的时间内成功破解。
- 彩虹表匹配法。此方法使用预先生成的哈希值。假设应用传输的密码是md5散列而非明文,或者数据库将密码存储为md5散列,不法攻击者可以创建另一个具有md5哈希值的常用密码数据库。然后,将拥有的密码哈希与数据库中存储的哈希进行比较。如果找到匹配项,则取得了原有的明文密码。如果黑客入侵了包含用户密码md5数据库的后台系统,则可以利用此法,“解密”出明文密码。
- 猜测法。顾名思义,此方法使用猜测之术。通常使用qwerty、iloveyou、football、admin、654321等密码,或者已知的初始密码或默认密码。如果用户未更改它们,或者在选择密码时不小心而使用了过于常用的密码,则很容易遭到破解。
- 爬网搜集法。大多数职场人员使用包含单位信息的密码。那些信息可以通过单位网站、社交媒体获得。不法分子可以利用从这些来源收集信息构建单词列表,然后用于执行字典攻击和蛮力攻击。比如可以搜集如下信息以构建词汇列表:
18206751343 <创办人电话>
67122372 <公司电话>
james dong <创始人姓名>
securemymind <公司名称或缩写>
securityfrontline <公司产品、服务的缩写>
golf <创始人的爱好>
了解了攻击者的手法,接下来,我们探讨一些防范密码破解的对策。组织可以使用以下方法来减少破解密码的机会:
- 避免使用简短易猜的密码。
- 避免使用具有可预测模式的密码,例如18206751343。
- 存储在数据库中的密码必须始终加密。对于md5加密,最好先SALT加盐,即在提供的密码中添加一些随机变量字符,然后再存储md5密码散列。
- 在用户注册系统中加入密码强度指示器,以强制采用高密码强度密码策略。
- 使用密码替代、辅助和附加身份认证方案,可以加入动态口令、生物识别、多重验证等等要素,以保护账户访问权限不被盗用。
总之,密码破解是一种恢复存储或传输的密码的技术。常见的密码技术包括字典攻击法、蛮力破解法、彩虹表匹配法、爬虫破解法等等。随着计算能力的提升,自动化的密码破解工具简化了密码破解过程。要防范密码破解,需要提升密码的强度,密码强度取决于密码的长度、复杂性和不可预测性。
为了帮助各类型的组织机构通过提升包括密码安全在内的全员安全技能及认知,进而帮助保护组织机构的重要信息资产,昆明亭长朗然科技有限公司制作了大量的用户安全意识培养教程内容和素材资源。有些来自互联网的威胁,如病毒和蠕虫、脚本黑客及公开泄露的密码库,对于所有联网用户都是共同需要面对的。有些威胁,比如恶意的竞争者、商业间谍和国家支持的黑客,对于不同行业、不同规模、不同地位的组织机构,则有其独特的需要面对的安全风险。我们通过互动内容和切合实际的培训场景来优化交互式安全课程,以同时满足共通的和特定的需求。如果您有这方面的兴趣或需求,请联系我们洽谈业务合作。
电话:0871-67122372
微信、手机:18206751343
邮件:info@securemymind.com
QQ: 1767022898
