當你聽到“安全漏洞”時，你會想到什麼？一個惡意的黑客坐在佈滿矩陣式數字文本的屏幕前？或者一個住在地下室的少年已經三個星期沒見日光了？一臺強大的超級計算機試圖入侵整個世界怎麼樣？

黑客攻擊都是關於一件事：你的密碼。如果有人能猜到你的密碼，他們不需要花哨的黑客技術和超級計算機。他們會以你的身份登錄。如果你的密碼又短又簡單，遊戲就結束了。

黑客常用八種策略來破解你的密碼。我們來看看。

1詞典黑客

首先在常見的密碼黑客戰術指南是字典攻擊。為什麼叫字典攻擊？因為它會根據密碼自動嘗試定義的“字典”中的每個單詞。嚴格說來，這本字典不是你在學校用的那本。

不是。這本字典實際上是一個小文件，它也包含最常用的密碼組合。其中包括123456、qwerty、password、iloveyu和歷史經典版hunter2。上表詳細列出了2016年洩露最多的密碼。

下表詳細列出了2020年洩露最多的密碼。注意這兩者之間的相似之處——並確保不要使用這些非常簡單的選項。

優點：快速，通常會解鎖一些受嚴重保護的帳戶。

缺點：即使是稍強的密碼也會保持安全。

保持安全：為每個帳戶使用一個強大的一次性密碼，並配合密碼管理應用程序。密碼管理器允許您將其他密碼存儲在存儲庫中。然後，你可以使用一個單一的，可笑的強大的密碼為每個網站。請參閱我們對Google密碼管理器的概述以開始使用它。

2蠻力

接下來是暴力攻擊，攻擊者嘗試所有可能的角色組合。嘗試的密碼將符合複雜度規則的規範，例如，包括一個大寫、一個小寫、小數位數Pi、您的比薩餅訂單等。

暴力攻擊也會首先嚐試最常用的字母數字字符組合。這些密碼包括前面列出的密碼，以及1Q2W3E455T、zxcvbnm和qwertyuiop。使用此方法計算密碼可能需要很長時間，但這完全取決於密碼的複雜性。

優點：理論上，通過嘗試每一個組合，都會破解任何密碼。

缺點：取決於密碼長度和難度，它可能需要非常長的時間。再加上一些變量，如$、&amp；、{、或]，就很難弄清楚密碼了。

保持安全：始終使用可變的字符組合，並在可能的情況下，引入額外的符號以增加複雜性。

三。網絡釣魚

這並不是嚴格意義上的“黑客攻擊”，但成為網絡釣魚或魚叉式網絡釣魚的犧牲品通常會以糟糕的結局告終。一般的網絡釣魚電子郵件發送的數十億美元，以各種形式的互聯網用戶在全球各地。

釣魚電子郵件通常如下所示：

1. 目標用戶收到一封偽造的電子郵件，聲稱是來自一個主要組織或企業
2. 偽造的電子郵件需要立即關注，其中包括指向網站的鏈接
3. 鏈接到網站實際上鍊接到一個虛假的登錄門戶網站，模仿出現完全一樣的合法網站
4. 不知情的目標用戶輸入他們的登錄憑據，然後被重定向或告知重試
5. 用戶憑據被竊取、**或惡意使用（或兩者兼有）

全球每天發送的垃圾郵件數量居高不下，佔全球發送郵件總數的一半以上。此外，惡意附件的數量也很高，卡巴斯基指出，從2020年1月到6月，惡意附件超過9200萬個。記住，這只是針對卡巴斯基的，所以實際數字要高得多。

早在2017年，最大的釣魚誘惑就是***。然而，在2020年，COVID-19大流行帶來了新的網絡釣魚威脅。

2020年4月，在許多國家進入大流行病封鎖後不久，谷歌宣佈每天屏蔽1800多萬封以COVID-19為主題的惡意垃圾郵件和網絡釣魚郵件。這些郵件中有大量使用**或衛生組織的官方品牌來獲取合法性，並讓受害者措手不及。

優點：用戶直接交出他們的登錄信息，包括密碼。命中率相對較高，容易針對特定服務進行定製，或針對特定人群進行魚叉式釣魚攻擊。

缺點：垃圾郵件很容易被過濾，垃圾郵件域被列入黑名單，像谷歌這樣的主要提供商不斷更新保護。

保持安全：我們已經討論瞭如何發現釣魚電子郵件。此外，將垃圾郵件過濾器增加到最高設置，或者更好的是使用主動白名單。單擊前，使用鏈接檢查器確定電子郵件鏈接是否合法。

4社會工程

社會工程本質上是現實世界中的網絡釣魚，遠離屏幕。請閱讀下面我簡短的基本示例（這裡還有一些需要注意的！）。

任何安全審計的核心部分都是衡量整個員工理解什麼。在這種情況下，安全公司會給他們正在審計的業務打電話。“攻擊者”告訴電話裡的人他們是新的辦公室技術支持團隊，他們需要一些特定的最新密碼。一個毫無戒備的人可以毫不猶豫地交出王國的鑰匙。

可怕的是這種方法的使用頻率。社會工程已經存在了幾個世紀。口是心非地進入安全區域是一種常見的攻擊方法，只有通過教育才能防範。這是因為攻擊並不總是直接請求密碼。可能是一個冒牌水管工或電工要求進入一個安全的建築，等等。

優點：熟練的社會工程師可以從一系列目標中提取高價值的信息。幾乎可以部署到任何人，任何地方。非常隱蔽。

缺點：社會工程的失敗會引起人們對即將發生的攻擊的懷疑，以及是否獲得正確信息的不確定性。

注意安全：這是個棘手的問題。成功的社會工程攻擊將在你意識到任何錯誤的時候完成。教育和安全意識是一個核心的緩解策略。避免發佈個人信息，這些信息可能會在以後對你不利。

5彩虹桌

彩虹表通常是離線密碼攻擊。例如，攻擊者獲取了用戶名和密碼的列表，但它們是加密的。加密的密碼是散列的。這意味著它看起來與原始密碼完全不同。

例如，您的密碼是（希望不是！）洛格曼。此密碼的已知MD5哈希為“8F4047E3233B39E444E1AEF240E80AA”

但在某些情況下，攻擊者會通過哈希算法運行明文密碼列表，將結果與加密的密碼文件進行比較。在其他情況下，加密算法是易受攻擊的，並且大多數密碼已經被破解，如MD5（因此我們知道“logmein”的特定哈希）

在這裡彩虹表進入自己的。彩虹表不需要處理成百上千的潛在密碼並匹配它們產生的散列值，而是一組預先計算的特定於算法的散列值。

使用彩虹表可以大大減少破解散列密碼所需的時間，但這並不完美。黑客可以購買預先填充的彩虹表填充了數以百萬計的潛在組合。

優點：可以在短時間內找出複雜的密碼，賦予黑客在某些安全場景下很大的權力。

缺點：需要大量的空間來存儲巨大（有時是太字節）的彩虹表。此外，攻擊者僅限於表中包含的值（否則，他們必須添加另一個整個表）。

保持安全：另一個棘手的問題。彩虹表提供了廣泛的攻擊潛力。避免任何使用SHA1或MD5作為密碼哈希算法的站點。避免任何限制您使用短密碼或限制您可以使用的字符的網站。始終使用複雜的密碼。

想知道如何知道一個網站是否存儲明文密碼？看看這本指南就知道了。

6惡意軟件/鍵盤記錄器

另一個肯定會丟失登錄憑據的方法是使用惡意軟件。惡意軟件無處不在，有可能造成巨大破壞。如果惡意軟件變種具有鍵盤記錄功能，您可能會發現您的所有帳戶都受到威脅。

或者，惡意軟件可以專門針對私人數據或引入遠程訪問特洛伊木馬來竊取您的憑據。

優點：數以千計的惡意軟件變種，許多可定製，與幾個簡單的交付方法。一個很好的機會是大量的目標將屈服於至少一個變種。它可以不被發現，允許進一步獲取私有數據和登錄憑據。

缺點：惡意軟件可能無法工作，或者在訪問數據之前被隔離，不能保證數據是有用的。

安全：安裝並定期更新你的防病毒和反惡意軟件。仔細考慮你的下載源。不要點擊包含bundleware等的安裝包。避開邪惡的網站（我知道，說起來容易做起來難）。使用腳本阻止工具來阻止惡意腳本。

7爬行

在我們之前討論過的字典攻擊中添加了關聯。如果黑客以某個特定機構或企業為目標，他們可能會嘗試一系列與企業本身有關的密碼。黑客可以閱讀和整理一系列相關的術語，或者使用搜索蜘蛛為它們做這項工作。

你以前可能聽過“蜘蛛”這個詞。這些搜索蜘蛛與那些在互聯網上爬行、為搜索引擎索引內容的蜘蛛極其相似。然後對用戶帳戶使用自定義單詞列表，希望找到匹配項。

優點：可以潛在地解鎖組織內高級別個人的帳戶。相對容易組合，併為字典攻擊增加了額外的維度。

缺點：如果組織網絡安全配置良好，很可能最終毫無結果。

保持安全：再次強調，只使用由隨機字符串組成的強大的一次性密碼——不要鏈接到您的角色、業務、組織等。

8肩窺

好吧，最後的選擇是最基本的選擇之一。如果在你輸入密碼的時候有人看了你的密碼怎麼辦？

肩上衝浪聽起來有點可笑，但確實發生過。如果你在市中心一家繁忙的咖啡館工作，不注意周圍環境，有人可能會靠近你，在你打字的時候記下你的密碼。

優點：竊取密碼的低技術方法。

缺點：必須先確定目標，再弄清楚密碼，可能在偷盜過程中暴露自己。

注意安全：在輸入密碼時要注意周圍的人，蓋上鍵盤，在輸入過程中要遮住鍵盤。

始終使用強大、唯一、一次性的密碼

那麼，你怎麼阻止黑客竊取你的密碼？最簡短的答案是，你不能真正做到100%的安全。黑客用來竊取你的數據的工具一直在變化。但是你可以減輕你暴露在脆弱性的風險。

有一點是肯定的：使用一個強大的，獨特的，一次性使用的密碼永遠不會傷害任何人。如果您需要創建強密碼和密碼短語的工具，我們可以提供幫助！