黑客如何破解密碼(以及如何阻止他們)
從暴力破解攻擊到憑證填充,了解攻擊者如何破解密碼是建立真正有效防禦的第一步。
從暴力破解攻擊到憑證填充,了解攻擊者如何破解密碼是建立真正有效防禦的第一步。
暴力破解攻擊是最基本的密碼破解形式:系統性地嘗試每種可能的字符組合,直到找到正確的密碼。對於現代GPU加速破解設備,每秒測試數十億種組合是例行公事。對於常見的MD5哈希函數(不幸地仍被一些服務使用),單個GPU每秒可以測試超過100億個密碼。這使得任何少於10-12個字符的密碼,無論複雜度如何,在給定哈希值的情況下,都可能在幾小時內被破解。
字典攻擊比純暴力破解更有效率:它不是嘗試每種字符組合,而是從已知密碼、常用詞和之前被破解密碼的列表開始。「Rockyou2024」洩露包含從洩露數據收集的超過100億個真實密碼,並且可以作為破解字典免費獲取。字典攻擊通常與應用轉換的規則引擎結合使用:將第一個字母大寫、附加數字、用「@」替換「a」、在末尾添加「!」。「Summer2025!」、「Password123」和「Liverpool1」都被這些組合的字典和規則攻擊有效覆蓋。
混合攻擊結合了字典和暴力破解方法:取字典詞,應用規則轉換,然後附加暴力破解的後綴。這種方法有效地覆蓋了大量遵循可預測模式的人工創建密碼,同時不僅限於精確的字典匹配。Hashcat和John the Ripper等現代破解工具支持所有這些方法,並且可以免費獲取,這意味著複雜密碼破解的門檻極低。
憑證填充 ↗是當今針對網上帳戶最普遍的大規模攻擊方法。與暴力破解或字典攻擊不同,它不試圖破解密碼——它使用從以前的洩露中盜取的已知用戶名╱密碼對。由於洩露數據庫中有超過150億個憑證可用,攻擊者使用自動化工具同時針對數百個流行網站測試這些配對。因為如此多的人重複使用密碼,即使在數十億次測試中成功率很低,也會導致數百萬個帳戶成功被入侵。
憑證填充操作的規模令人震驚。專用工具可以高速同時針對多個網站測試憑證,暗網市場上的商業服務提供「檢查」服務,某人提供一份憑證列表,服務就針對指定目標測試它們。主要零售商和金融機構的報告記錄了每天數百萬次憑證填充嘗試。唯一有效的防禦是每個網站使用唯一密碼——如果您的憑證從一個服務被盜,但每個其他服務都有不同的密碼,填充攻擊就無法在其他地方成功。
彩虹表是預計算的查找表,允許快速逆轉密碼哈希。攻擊者擁有彩虹表,可以查找哈希值並立即找到對應的密碼,而不是單獨破解每個哈希。這種方法對常見密碼非常快速——比實時破解快得多。它在服務級別通過密碼加鹽(在哈希之前向每個密碼添加唯一的隨機字符串)來擊敗,這就是為什麼現代設計良好的系統存儲加鹽哈希。然而,存儲未加鹽哈希的舊系統或設計不良的系統容易受到即時彩虹表查找的攻擊。
並非所有密碼被入侵的情況都涉及技術破解。網絡釣魚攻擊——旨在誘騙受害者輸入憑證的欺詐性網站或電郵——是帳戶被入侵的很大一部分,根本不需要任何密碼破解。受害者只需將真實密碼輸入到看起來像他們的銀行、Google登錄或工作系統的假網站。這些攻擊特別有效,因為它們繞過了強密碼提供的所有保護——30字符的隨機密碼通過網絡釣魚竊取起來和6字符密碼一樣容易。
鍵盤記錄器——記錄每次擊鍵的malware——是另一種擊敗即使最強密碼的非破解方法。如果malware安裝在設備上,它可以在密碼輸入時捕獲密碼,使強密碼創建無關緊要。鍵盤記錄器通常通過電郵附件、惡意瀏覽器擴充功能或盜版軟件安裝。硬件鍵盤記錄器作為插入鍵盤和計算機之間的物理設備存在。針對軟件和硬件鍵盤記錄器的防禦包括使用密碼管理器(自動填充而非需要打字)、保持軟件更新,以及使用信譽良好的端點安全軟件。
基於OSINT的個人化攻擊使用公開信息針對特定個人。攻擊者研究目標的社交媒體、已發布的數據和易於發現的個人信息,以建立可能密碼的列表——生日、名字、體育球隊、周年紀念日、寵物。這些攻擊對任何在密碼中使用個人有意義信息的人都有效,無論密碼長度如何。防禦方法是使用沒有個人聯繫的真正隨機密碼——這再次指向密碼管理器生成的憑證。
針對密碼破解攻擊的有效防禦是分層的:沒有一種單一措施能擊敗所有攻擊類型,但將強密碼、唯一憑證和多因素認證結合起來,創建了一個攻破任何一層都無法提供完整帳戶訪問的系統。這種深度防禦方法是實際密碼安全的基礎。
第一層——由密碼管理器生成的長、隨機、唯一密碼——同時擊敗暴力破解、字典、基於規則和憑證填充 ↗攻擊。20字符的隨機密碼需要數十億年才能暴力破解,並且不在任何字典中。因為它對每個網站都是唯一的,從一個服務盜取它不會在任何其他服務上給攻擊者任何好處。第二層——雙重認證——擊敗網絡釣魚攻擊。即使攻擊者欺騙您在假網站上輸入密碼,沒有您的實體2FA設備,他們也無法訪問您的帳戶。
第三層——設備和端點安全——擊敗鍵盤記錄器和malware。保持操作系統和應用程序更新、避免盜版軟件、使用信譽良好的端點安全軟件,以及對瀏覽器擴充功能保持謹慎,都降低了可能在管理器的自動填充操作之前捕獲憑證的malware風險。這三層——強唯一密碼、2FA和端點安全——共同提供針對完整密碼攻擊方法的保護。
