威胁密码安全的常见攻击模式及应对方法

密码无疑是保护账户安全的最常用措施之一，随着互联网木马和攻击的日益猖獗，许多企业的密码应用却成为整体安全体系中最薄弱的环节之一。由于密码是非法攻击者闯入企业网络环境的最简单途径之一，正面临着越来越多的攻击威胁。为了更深入地了解如何保护企业的密码免受攻击，我们搜集了以下常见密码攻击手段以及应对措施。

1. 暴力破解攻击

暴力破解是指黑客使用大批常见或泄露的密码，高强度尝试访问网络时所执行的密码攻击。利用当今高性能CPU的算力，连游戏级计算机每秒都可以猜测数十亿个密码。它靠蛮力主动猜测合法用户账户的密码。

防护措施：账户锁定、密码长度和密码短语超过20个字符、阻止增量密码和常见模式、泄露密码防护、自定义字典以及多因子身份验证(MFA)。

2. 字典攻击

字典攻击某种意义上属于暴力破解手段之一，它使用大型的常见密码数据库(酷似字典)作为来源。它用于通过输入字典中的每个单词以及那些单词的派生词，以及以前泄露的密码或密码短语，非法访问受密码保护的资产。

防护措施：密码长度/密码短语超过20个字符、阻止增量密码/常见模式、泄露密码防护、自定义字典以及MFA。

3. 密码喷洒攻击

密码喷洒攻击针对许多不同的账户、服务和组织尝试使用一个或两个通用密码，以此避免在单个账户上被检测或锁定。攻击者使用这种方法避免超过设定的账户锁定阈值，许多组织经常设置为输错三到五次就锁住账户。

只要在锁定阈值内输对密码，攻击者可以在整个组织成功尝试多个密码，不会被活动目录(Active Directory)中的默认保护机制阻止。攻击者选择最终用户常用的密码和数学公式来猜测密码，或使用已在密码泄露网站上公布的泄露密码。

防护措施：密码长度/密码短语超过20个字符、阻止增量密码/常见模式、泄露密码防护、自定义字典以及MFA。

4. 凭证填充

凭证填充是一种自动攻击，登录过程中尝试窃取的用户名和密码组合，试图闯入。凭证可能来自大型数据库，这些数据库含有真实的泄露账户和密码，可从网上购得。由于高达2%的成功率，凭证填充攻击者占到全球许多最大网站的所有登录流量的90% 以上，引发了大量次生数据泄露事件。

防护措施：阻止增量/常见模式、泄露密码防护/自定义字典、MFA以及账户锁定。

5. 网络钓鱼

网络钓鱼是一种古老的攻击，已用了几十年，然而它依然非常有效。网络钓鱼攻击旨在引诱人们执行操作或泄露机密信息，常常通过电子邮件来实施。比如说，攻击者伪装成合法组织或服务商，诱使用户泄露账户信息。

其他网络钓鱼电子邮件使用“很紧迫的恐吓手段”，促使用户迅速泄露信息。电子邮件可能含有“紧急通知：您的账户已被闯入”之类的内容。攻击者利用最终用户的恐慌情绪，让误以为攻击者在保护信息的用户泄露信息。在使用个人设备的组织中，网络犯罪分子可以利用这些网络钓鱼手段，诱骗最终用户交出公司登录信息。

防护措施：网络安全意识培训、MFA、配置电子邮件banner以及邮件服务器配置(DKIM、SPF 等)。

6. 击键记录器攻击

击键记录器攻击用于记录敏感信息，比如输入的账户信息。它可能涉及软件和硬件。比如说，间谍软件可以记录击键内容，以窃取从密码到信用卡号的各种敏感数据。如果攻击者能接触最终用户的计算机，可以将物理硬件设备连接到键盘以记录输入的内容。

防护措施：安全意识培训、最新的恶意软件防护、恶意URL防护、MFA、阻止未知的USB设备、密码管理器及加强关键业务环境的物理访问。

7. 社会工程攻击

社会工程攻击包括一系列恶意活动，以劝诱人们执行操作或泄露机密信息，包括网络钓鱼、语音钓鱼、社交媒体引诱和尾随。比如说，网络钓鱼攻击是一种社会工程伎俩，攻击者诱骗你提供密码和银行信息等敏感信息，或者交出计算机或移动设备的控制权。

社会工程攻击通常企图利用人性的自然倾向。攻击者诱骗你提供密码信息通常比使用其他手段破解密码要容易得多。

防护措施：加强企业安全意识培训，应用安全的MFA方法

8. 密码重置

密码重置攻击是也一种经典的社会工程伎俩，用于访问网络：呼叫帮助台，冒充别人，请求新密码。黑客只需说服帮助台工作人员为他们提供新密码，而不是试图猜测或破解密码。对于帮助台员工可能不认识所有员工的大组织来说，这尤其危险。由于员工队伍转向混合或完全远程模式，这种攻击也变得越来越常见，因为验证最终用户不像当面打招呼那么简单。

防护措施：加强帮助台的验证/MFA、开展安全意识培训、结合MFA的自助式密码重置(SSPR)。

参考链接：https://www.bleepingcomputer.com/news/security/the-top-10-password-attacks-and-how-to-stop-them/