当你想到密码黑客，你可能会想象一个黑客在一个帐户上尝试几百个密码。虽然这种情况仍然发生，但并不总是这样；有时黑客会执行密码喷洒。

我们来分析一下什么是密码喷洒，以及你能做些什么来保护自己。

什么是密码喷洒(password spraying)？

如果一个“正常”的黑客攻击涉及到在几个帐户上尝试许多不同的密码，那么喷洒密码则是相反的。黑客可以访问许多不同的帐户名，并试图只用几个密码就可以进入这些帐户。

如果帐户安全性很高，黑客就不会执行“正常”的黑客攻击方法。一个安全系统会注意到有人反复尝试访问一个帐户，并将其锁定以保护目标的隐私。当您多次错误地将密码输入到服务中时，您可能也经历过这种情况—它会将您锁定在外。

如果黑客每次攻击只使用少量密码，他们使用的是哪些密码？黑客的最佳选择是使用互联网上最常用的一些密码。这样，他们就能最大限度地利用机会，突破那扇小小的机会之窗。

我们使用的密码是否很弱？

当然，这种攻击完全取决于某人在其帐户上使用常用密码。然而，在当今这个时代，有人使用这些密码的可能性有多大？

不幸的是，这些年来，我们的密码习惯并没有太大改善。NCSC对自愿组织进行了一项研究，以测试他们对喷雾攻击的敏感性。他们发现，75%的组织至少有一个帐户在前1000个密码中使用了密码，87%的组织至少有一个帐户在前10000个密码中使用了密码。

这是密码喷洒器旨在利用的安全漏洞。一个组织中的一个用户只需要使用弱密码就可以让攻击生效。一旦黑客进入这个账户，他们就可以利用这个杠杆深入系统。

谁有被密码攻击的危险？

通常，黑客会对大型企业和组织使用这些攻击。他们还对数据库泄漏的用户使用密码喷雾，黑客有大量帐户名可供使用，但没有密码。

任何情况下，黑客有丰富的帐户通过，但只有一个有限的窗口来攻击每一个，是当密码喷雾成为首选的攻击方法。

当帐户因输入错误而受到严厉惩罚时，黑客会选择喷洒密码。如果黑客获得了一个网站的账户信息，但该网站在锁定账户前只允许尝试5次密码，黑客就会使用最常用的前5次密码，希望人们使用这些密码。

有没有真的出现密码喷洒的情况？

在一个理想的世界里，组织中的每个人都会使用一个强大的密码来阻止喷雾器。不幸的是，黑客在过去的策略中取得了成功，以至于Redmond Mag报道了2018年密码喷洒案件的上升趋势。

很多攻击都是针对企业的，大概是为了窃取有价值的商业文件牟利。组织可能还有一个用户名结构，使得黑客很容易收集要攻击的名单。

Threatpost报道了软件虚拟化业务Citrix在其一个帐户被泄露后如何遭到攻击。黑客通过他们访问的帐户中未发现的权限，盗取了有价值的业务文档。

这种攻击的可怕之处在于它的沉默程度；由于密码喷洒的“低调”性质，它没有触发任何警报或引起任何关注。直到FBI在袭击发生很久之后通知他们，Citrix才知道袭击已经发生。

如何防范密码泄露

此攻击的解决方案很简单；请使用更好的密码！密码喷洒完全取决于你使用的密码是在前100名左右的最常用的密码列表。

通过使你的密码更复杂，你把自己从一个喷雾器将用来对付你的密码池。首先，如果您的密码是最差的密码之一，请务必立即更改！

如果你想再深入一点，passwordrandom有一个10000个最常用密码的列表。这些密码中有一些**语言，所以在阅读时要小心！

什么是好密码？

既然我们知道了什么是弱密码，那么什么才是好密码呢？

密码的问题是，越复杂，越强大；然而，它们越难记住。

人们之所以使用“password”或“12345”这样的密码，是因为它们易于记忆和键入。它们中没有大写字母或奇怪的符号，但这些是帮助抵御密码喷射器攻击所需要的。

谢天谢地，有很多方法可以设计出既强大又难忘的密码。如果你的密码卫生不符合标准，一定要阅读有关如何创建一个强大的密码，你不会忘记。

使用更强大的密码保护自己

对于不使用强密码的用户和企业来说，密码喷洒是一个重大问题。有时，只需要一个帐户有一个弱密码，黑客就可以利用这个杠杆在系统内造成进一步的破坏。谢天谢地，通过加强你的密码和使用2FA，你可以保护自己。

不幸的是，密码喷洒并不是黑客使用的唯一策略。一定要阅读最常见的战术，用于黑客密码，以进一步加强您的安全性。

图片来源：yekophotostudio/Depositphotos