密碼無疑是保護(hù)賬戶安全的最常用措施之一，隨著互聯(lián)網(wǎng)木馬和攻擊的日益猖獗，許多企業(yè)的密碼應(yīng)用卻成為整體安全體系中最薄弱的環(huán)節(jié)之一。由于密碼是非法攻擊者闖入企業(yè)網(wǎng)絡(luò)環(huán)境的最簡單途徑之一，正面臨著越來越多的攻擊威脅。為了更深入地了解如何保護(hù)企業(yè)的密碼免受攻擊，我們搜集了以下常見密碼攻擊手段以及應(yīng)對措施。

1. 暴力破解攻擊

暴力破解是指黑客使用大批常見或泄露的密碼，高強(qiáng)度嘗試訪問網(wǎng)絡(luò)時(shí)所執(zhí)行的密碼攻擊。利用當(dāng)今高性能CPU的算力，連游戲級計(jì)算機(jī)每秒都可以猜測數(shù)十億個(gè)密碼。它靠蠻力主動(dòng)猜測合法用戶賬戶的密碼。

防護(hù)措施：賬戶鎖定、密碼長度和密碼短語超過20個(gè)字符、阻止增量密碼和常見模式、泄露密碼防護(hù)、自定義字典以及多因子身份驗(yàn)證(MFA)。

2. 字典攻擊

字典攻擊某種意義上屬于暴力破解手段之一，它使用大型的常見密碼數(shù)據(jù)庫(酷似字典)作為來源。它用于通過輸入字典中的每個(gè)單詞以及那些單詞的派生詞，以及以前泄露的密碼或密碼短語，非法訪問受密碼保護(hù)的資產(chǎn)。

防護(hù)措施：密碼長度/密碼短語超過20個(gè)字符、阻止增量密碼/常見模式、泄露密碼防護(hù)、自定義字典以及MFA。

3. 密碼噴灑攻擊

密碼噴灑攻擊針對許多不同的賬戶、服務(wù)和組織嘗試使用一個(gè)或兩個(gè)通用密碼，以此避免在單個(gè)賬戶上被檢測或鎖定。攻擊者使用這種方法避免超過設(shè)定的賬戶鎖定閾值，許多組織經(jīng)常設(shè)置為輸錯(cuò)三到五次就鎖住賬戶。

只要在鎖定閾值內(nèi)輸對密碼，攻擊者可以在整個(gè)組織成功嘗試多個(gè)密碼，不會(huì)被活動(dòng)目錄(Active Directory)中的默認(rèn)保護(hù)機(jī)制阻止。攻擊者選擇最終用戶常用的密碼和數(shù)學(xué)公式來猜測密碼，或使用已在密碼泄露網(wǎng)站上公布的泄露密碼。

防護(hù)措施：密碼長度/密碼短語超過20個(gè)字符、阻止增量密碼/常見模式、泄露密碼防護(hù)、自定義字典以及MFA。

4. 憑證填充

憑證填充是一種自動(dòng)攻擊，登錄過程中嘗試竊取的用戶名和密碼組合，試圖闖入。憑證可能來自大型數(shù)據(jù)庫，這些數(shù)據(jù)庫含有真實(shí)的泄露賬戶和密碼，可從網(wǎng)上購得。由于高達(dá)2%的成功率，憑證填充攻擊者占到全球許多最大網(wǎng)站的所有登錄流量的90% 以上，引發(fā)了大量次生數(shù)據(jù)泄露事件。

防護(hù)措施：阻止增量/常見模式、泄露密碼防護(hù)/自定義字典、MFA以及賬戶鎖定。

5. 網(wǎng)絡(luò)釣魚

網(wǎng)絡(luò)釣魚是一種古老的攻擊，已用了幾十年，然而它依然非常有效。網(wǎng)絡(luò)釣魚攻擊旨在引誘人們執(zhí)行操作或泄露機(jī)密信息，常常通過電子郵件來實(shí)施。比如說，攻擊者偽裝成合法組織或服務(wù)商，誘使用戶泄露賬戶信息。

其他網(wǎng)絡(luò)釣魚電子郵件使用“很緊迫的恐嚇手段”，促使用戶迅速泄露信息。電子郵件可能含有“緊急通知：您的賬戶已被闖入”之類的內(nèi)容。攻擊者利用最終用戶的恐慌情緒，讓誤以為攻擊者在保護(hù)信息的用戶泄露信息。在使用個(gè)人設(shè)備的組織中，網(wǎng)絡(luò)犯罪分子可以利用這些網(wǎng)絡(luò)釣魚手段，誘騙最終用戶交出公司登錄信息。

防護(hù)措施：網(wǎng)絡(luò)安全意識培訓(xùn)、MFA、配置電子郵件banner以及郵件服務(wù)器配置(DKIM、SPF 等)。

6. 擊鍵記錄器攻擊

擊鍵記錄器攻擊用于記錄敏感信息，比如輸入的賬戶信息。它可能涉及軟件和硬件。比如說，間諜軟件可以記錄擊鍵內(nèi)容，以竊取從密碼到信用卡號的各種敏感數(shù)據(jù)。如果攻擊者能接觸最終用戶的計(jì)算機(jī)，可以將物理硬件設(shè)備連接到鍵盤以記錄輸入的內(nèi)容。

防護(hù)措施：安全意識培訓(xùn)、最新的惡意軟件防護(hù)、惡意URL防護(hù)、MFA、阻止未知的USB設(shè)備、密碼管理器及加強(qiáng)關(guān)鍵業(yè)務(wù)環(huán)境的物理訪問。

7. 社會(huì)工程攻擊

社會(huì)工程攻擊包括一系列惡意活動(dòng)，以勸誘人們執(zhí)行操作或泄露機(jī)密信息，包括網(wǎng)絡(luò)釣魚、語音釣魚、社交媒體引誘和尾隨。比如說，網(wǎng)絡(luò)釣魚攻擊是一種社會(huì)工程伎倆，攻擊者誘騙你提供密碼和銀行信息等敏感信息，或者交出計(jì)算機(jī)或移動(dòng)設(shè)備的控制權(quán)。

社會(huì)工程攻擊通常企圖利用人性的自然傾向。攻擊者誘騙你提供密碼信息通常比使用其他手段破解密碼要容易得多。

防護(hù)措施：加強(qiáng)企業(yè)安全意識培訓(xùn)，應(yīng)用安全的MFA方法

8. 密碼重置

密碼重置攻擊是也一種經(jīng)典的社會(huì)工程伎倆，用于訪問網(wǎng)絡(luò)：呼叫幫助臺(tái)，冒充別人，請求新密碼。黑客只需說服幫助臺(tái)工作人員為他們提供新密碼，而不是試圖猜測或破解密碼。對于幫助臺(tái)員工可能不認(rèn)識所有員工的大組織來說，這尤其危險(xiǎn)。由于員工隊(duì)伍轉(zhuǎn)向混合或完全遠(yuǎn)程模式，這種攻擊也變得越來越常見，因?yàn)轵?yàn)證最終用戶不像當(dāng)面打招呼那么簡單。

防護(hù)措施：加強(qiáng)幫助臺(tái)的驗(yàn)證/MFA、開展安全意識培訓(xùn)、結(jié)合MFA的自助式密碼重置(SSPR)。

參考鏈接：https://www.bleepingcomputer.com/news/security/the-top-10-password-attacks-and-how-to-stop-them/