什麼是密碼噴霧,如何使用它來對付你?
當你想到密碼黑客,你可能會想象一個黑客在一個帳戶上嘗試幾百個密碼。雖然這種情況仍然發生,但並不總是這樣;有時黑客會執行密碼噴灑。
我們來分析一下什麼是密碼噴灑,以及你能做些什麼來保護自己。
什麼是密碼噴灑(password spraying)?
如果一個“正常”的黑客攻擊涉及到在幾個帳戶上嘗試許多不同的密碼,那麼噴灑密碼則是相反的。黑客可以訪問許多不同的帳戶名,並試圖只用幾個密碼就可以進入這些帳戶。
如果帳戶安全性很高,黑客就不會執行“正常”的黑客攻擊方法。一個安全系統會注意到有人反覆嘗試訪問一個帳戶,並將其鎖定以保護目標的隱私。當您多次錯誤地將密碼輸入到服務中時,您可能也經歷過這種情況—它會將您鎖定在外。
如果黑客每次攻擊只使用少量密碼,他們使用的是哪些密碼?黑客的最佳選擇是使用互聯網上最常用的一些密碼。這樣,他們就能最大限度地利用機會,突破那扇小小的機會之窗。
我們使用的密碼是否很弱?
當然,這種攻擊完全取決於某人在其帳戶上使用常用密碼。然而,在當今這個時代,有人使用這些密碼的可能性有多大?
不幸的是,這些年來,我們的密碼習慣並沒有太大改善。NCSC對自願組織進行了一項研究,以測試他們對噴霧攻擊的敏感性。他們發現,75%的組織至少有一個帳戶在前1000個密碼中使用了密碼,87%的組織至少有一個帳戶在前10000個密碼中使用了密碼。
這是密碼噴灑器旨在利用的安全漏洞。一個組織中的一個用戶只需要使用弱密碼就可以讓攻擊生效。一旦黑客進入這個賬戶,他們就可以利用這個槓桿深入系統。
誰有被密碼攻擊的危險?
通常,黑客會對大型企業和組織使用這些攻擊。他們還對數據庫洩漏的用戶使用密碼噴霧,黑客有大量帳戶名可供使用,但沒有密碼。
任何情況下,黑客有豐富的帳戶通過,但只有一個有限的窗口來攻擊每一個,是當密碼噴霧成為首選的攻擊方法。
當帳戶因輸入錯誤而受到嚴厲懲罰時,黑客會選擇噴灑密碼。如果黑客獲得了一個網站的賬戶信息,但該網站在鎖定賬戶前只允許嘗試5次密碼,黑客就會使用最常用的前5次密碼,希望人們使用這些密碼。
有沒有真的出現密碼噴灑的情況?
在一個理想的世界裡,組織中的每個人都會使用一個強大的密碼來阻止噴霧器。不幸的是,黑客在過去的策略中取得了成功,以至於Redmond Mag報道了2018年密碼噴灑案件的上升趨勢。
很多攻擊都是針對企業的,大概是為了竊取有價值的商業文件牟利。組織可能還有一個用戶名結構,使得黑客很容易收集要攻擊的名單。
Threatpost報道了軟件虛擬化業務Citrix在其一個帳戶被洩露後如何遭到攻擊。黑客通過他們訪問的帳戶中未發現的權限,盜取了有價值的業務文檔。
這種攻擊的可怕之處在於它的沉默程度;由於密碼噴灑的“低調”性質,它沒有觸發任何警報或引起任何關注。直到FBI在襲擊發生很久之後通知他們,Citrix才知道襲擊已經發生。
如何防範密碼洩露
此攻擊的解決方案很簡單;請使用更好的密碼!密碼噴灑完全取決於你使用的密碼是在前100名左右的最常用的密碼列表。
通過使你的密碼更復雜,你把自己從一個噴霧器將用來對付你的密碼池。首先,如果您的密碼是最差的密碼之一,請務必立即更改!
如果你想再深入一點,passwordrandom有一個10000個最常用密碼的列表。這些密碼中有一些**語言,所以在閱讀時要小心!
什麼是好密碼?
既然我們知道了什麼是弱密碼,那麼什麼才是好密碼呢?
密碼的問題是,越複雜,越強大;然而,它們越難記住。
人們之所以使用“password”或“12345”這樣的密碼,是因為它們易於記憶和鍵入。它們中沒有大寫字母或奇怪的符號,但這些是幫助抵禦密碼噴射器攻擊所需要的。
謝天謝地,有很多方法可以設計出既強大又難忘的密碼。如果你的密碼衛生不符合標準,一定要閱讀有關如何創建一個強大的密碼,你不會忘記。
使用更強大的密碼保護自己
對於不使用強密碼的用戶和企業來說,密碼噴灑是一個重大問題。有時,只需要一個帳戶有一個弱密碼,黑客就可以利用這個槓桿在系統內造成進一步的破壞。謝天謝地,通過加強你的密碼和使用2FA,你可以保護自己。
不幸的是,密碼噴灑並不是黑客使用的唯一策略。一定要閱讀最常見的戰術,用於黑客密碼,以進一步加強您的安全性。
圖片來源:yekophotostudio/Depositphotos
- 發表於 2021-03-20 03:09
- 閱讀 ( 39 )
- 分類:安全
你可能感興趣的文章
如何建立一個強大的密碼,你不會忘記
...建議您為所有帳戶使用真正唯一和安全的密碼。這就是為什麼你需要一個密碼管理器。這是非常重要的,以保持您的網上銀行帳戶的安全以及。 ...
你的資訊每天被利用的5種方式
... 見鬼,Facebook甚至知道你長什麼樣。 ...
你被遺忘的myspace賬戶洩露了你所有的祕密
... 什麼又回來纏著你了? ...
如何在一次點選中刪除您的web帳戶
...建立的所有帳戶的一半,對吧?我知道我不能。這就是為什麼它這麼漂亮去吃我現在已經存在了。 ...
當你的instagram帳戶被駭客入侵時該怎麼辦
...全的最好方法是使用雙因素身份驗證。如果您不知道2FA是什麼,下面是您應該使用雙因素身份驗證的原因。此功能可確保除您自己以外的任何人都無法訪問您的帳戶。 ...
如何在使用智慧家居裝置時保持安全和隱私
... 智慧家居小玩意有什麼問題? ...
你上網有多安全?問自己10個問題
...c和Linux使用者認為他們不需要執行反病毒應用程式。沒有什麼比這更離譜了——這兩個作業系統都遭受了惡意軟體的侵害。順便說一句,Android和iOS也有很好的安全應用。 ...
在開放網路上入侵智慧手機有多容易?
...網路時保護您的裝置,儘管這些都是很好的做法,無論是什麼型別的網際網路連線! ...
什麼是protonmail,為什麼它比gmail更私密?
...那麼ProtonMail與Gmail這樣的“常規”電子郵件提供商到底有什麼不同呢?更重要的是:是時候做出改變了嗎? 什麼是原郵件(protonmail)? 雖然所有主要的電子郵件服務都聲稱尊重你的隱私,但ProtonMail在保護你方面比大多數公司做...
是一款世界級的塔防遊戲
...層次,雖然很迷人,但從來沒有讓我覺得自己明白髮生了什麼。) 和以前一樣,每層都有四個基本的塔供你選擇:地面部隊的兵營;弓箭手用於快速射擊,低傷害攻...
