十大密码攻击及缓解措施

今天，密码依然是许多组织整体网络安全防御中最薄弱的环节之一，同时也是最热门的攻击对象之一，根据卡巴斯基的报告，2021年三季度密码窃取恶意软件的攻击激增了45%，针对个人用户的攻击数量也增长了近30%。为了帮助企业和个人更好地保护密码安全，以下我们整理了十大主流密码攻击及其防护措施（其中一些存在分类上的交集或从属关系）：

十大密码攻击

（及主要缓解措施）

以下是企业最常遭遇的十大密码攻击和缓解措施，有效和针对性的缓解措施可以大大减少攻击受损和关键业务数据的丢失和泄露。

1. 暴力攻击

2. 字典攻击

3. 密码喷洒

4. 凭证填充

5. 网络钓鱼

6. 键盘记录器攻击

7. 社会工程攻击

8. 重设密码

9. 物理盗窃

10. 密码重用

1、暴力攻击

暴力攻击指黑客使用大量常见或泄露密码进行大量访问尝试的简单粗暴的密码攻击。即使是使用当今的高性能CPU能力的“游戏PC”级的计算机也可以每秒“猜测”数十亿个密码。

缓解措施：

帐户锁定、密码长度要求（长度超过20个字符）、阻止使用增量密码和常见组合，以及泄露密码防护、自定义字典和MFA（多因素认证）。

2、字典攻击

字典攻击是暴力攻击的一种，在破解密码或密钥时，逐一尝试用户自定义词典中的可能密码（单词或短语）的攻击方式。与暴力破解的区别是，暴力破解会逐一尝试所有可能的组合密码，而字典式攻击会使用一个预先定义好的单词列表（可能的密码）。

缓解措施：

密码长度/密码超过20个字符，阻止增量/常见模式密码，泄露密码防护，自定义字典，MFA。

3、密码喷洒

穷举攻击是固定好用户名，利用多个密码尝试验证。与穷举攻击相反，密码喷洒攻击是固定好密码，尝试多个用户名进行验证。密码喷洒使用一个或数个通用密码“碰撞”许多不同的帐户，这种方法可以避免（多次密码尝试后的）帐户锁定阈值，许多组织将账户密码的错误尝试次数限制在3到5次。

通过每次只尝试少于锁定阈值的一个密码，攻击者可以在整个组织中尝试多个密码，而不会被Active Directory中的默认保护机制阻止。密码喷洒攻击者通常会选择最终用户常用的密码、或使用已在网上泄露的密码。

缓解措施：

密码长度超过20个字符，阻止增量/常见模式弱密码，泄露密码防护，自定义字典，MFA。

4、凭证填充（撞库）

凭证填充（Credential Stuffing）是一种自动黑客攻击，也就是我们习惯称的“撞库”,利用从一项服务数据泄露中获得的登录凭据尝试登录到另一个不相关的服务。凭借高达2%的成功率，凭证填充自动程序占全球需多大型网站所有登录流量的90%以上，并且产生大量二手数据泄露。

缓解措施：

阻止增量/常见模式弱密码、泄露密码防护/自定义字典、MFA、帐户锁定

5、网络钓鱼

网络钓鱼是一种古老的攻击，已经有几十年历史，但至今仍然非常有效，非常主流。网络钓鱼攻击通过欺诈手段操纵人们执行操作或泄露机密信息，通常通过电子邮件进行实施。例如，攻击者伪装成合法组织或服务，以诱使用户泄露帐户信息。

最常见的网络钓鱼策略是“紧急恐吓”，钓鱼电子邮件中可能包含诸如“紧急，您的帐户已被黑客入侵”之类的措辞。攻击者利用最终用户的恐慌情绪，让用户在“保护信息”时泄露信息。

缓解措施：

网络安全意识培训、MFA、配置电子邮件横幅、邮件服务器配置（DKIM、SPF等）

6、键盘记录器攻击

键盘记录器攻击用于记录用户在键盘上输入的敏感信息，例如帐户信息。键盘攻击涉及软件和硬件。例如，间谍软件可以记录键盘敲击以窃取各种敏感数据，从密码到信用卡号码。如果攻击者可以物理访问最终用户的计算机，则可以将物理硬件设备与键盘关联以记录输入的击键。

缓解措施：

安全意识培训、最新的恶意软件保护、恶意URL保护、MFA、阻止未知USB设备、密码管理器、对关键业务环境的安全物理访问。

7、社会工程攻击

社会工程包括一系列恶意活动，以操纵人们执行操作或泄露机密信息，包括网络钓鱼、语音钓鱼、社交媒体、诱饵和跟踪等。例如，网络钓鱼攻击是一种社会工程攻击形式，攻击者会诱骗您向他们提供敏感信息，例如密码、银行信息或对您的计算机或移动设备的控制权。

缓解措施：

安全意识培训、安全的MFA方法（例如不使用安全问题）

8、密码重置

密码重置攻击是一种经典的社会工程攻击技术，攻击者假冒受害者致电服务台请求重置密码。黑客只需要说服服务台工作人员向他们提供新密码，而不是试图猜测或破解它。大型企业的服务台员工可能并不认识所有员工，因此尤其危险。疫情期间随着更多员工转向混合或完全远程工作模式，重置攻击也变得越来越普遍——因为验证最终用户并不像亲自打招呼那么简单。多项研究表明，密码重置中间人攻击非常简单有效。

缓解措施：

服务台的验证/MFA、安全意识培训、使用MFA的自助密码重置(SSPR)

9、物理盗窃

写下密码是一种常见且非常危险的活动。贴在显示器上的“写有主密码的便利贴”很容易成为一次重大数据泄露事件的诱因。在密码管理中强制执行复杂性要求可能会导致用户将其写下来。对于少量需要记忆的密码，可选择使用密码短语组合的方式。如果您的最终用户正在为关键业务系统使用多个密码，请使用密码管理器。总之，显示器或桌子上的“物理密码”是大忌。

缓解措施：

安全意识培训、使用密码短语和密码管理器

10、密码重用

密码重用是数据泄露的主要原因之一。研究发现，超过70%的员工在工作中重复使用密码。在个人和公司帐户之间共享密码会使您的网络容易受到帐户攻击。如果您注册的爱好者论坛被黑客入侵，并且您在公司帐户中使用相同的密码，您的密码最终会出现在暗网上，公司系统也因此变得脆弱。

缓解措施：

安全意识培训、密码短语、密码管理器、泄露密码防护、自定义字典、阻止增量、日常模式密码。

十大密码攻击及缓解措施相关推荐

Kali Linux中的十大WiFi攻击工具介绍
本文讲的是Kali Linux中的十大WiFi攻击工具介绍,在这十大WiFi攻击黑客工具中,我们将讨论一个非常受欢迎的主题:无线网络攻击以及如何防止黑客入侵.无线网络通常是网络的一个弱点,因为WiFi ...
从2020年十大勒索攻击事件聊聊企业安全“防盗”新思路
自2017年WannaCry.NotPetya席卷全球以来,勒索病毒一直以不可忽视的危害性和破坏力,被全球企业和机构视为最大网络威胁之一.回顾整个2020年,受新冠疫情大流行和全球数字化进程加快的驱动 ...
瑞星发布中国用户最常用十大密码:abc123
11月22日,国内安全厂商瑞星(微博)公司发布针对密码强度的专业研究结果,这项研究表明,国内用户在密码使用和创建上存在种种疏漏,一些极其简单的密码被广泛应用于各种使用环境中,给用户带来极大安全风险. ...
六年间全球十大勒索攻击事件盘点：没有底线全是算计
自2017年WannaCry席卷全球以来,勒索软件攻击不断演变,并逐渐形成产业化,其攻击规模.影响及破坏效果进一步扩大,已经对全球制造.金融.能源.医疗.政府组织等关键领域造成严重影响,在某些事件中, ...
全球电力行业十大网络安全攻击事件
随着电力行业对网络的依赖程度越来越高,网络攻击对企业的安全运营造成巨大的威胁.电力系统与现代社会生产生活紧密相连,一旦出现断电,后果将不堪设想.对电力行业的攻击类型分为勒索病毒.DDoS攻击.APT攻 ...
下半年十大勒索攻击盘点、德国某医疗系统存在漏洞｜12月29日全球网络安全热点
安全资讯报告 2021年下半年最大的10次勒索软件攻击 1.卡塞亚 7月2日,Kaseya遭受了供应链攻击.Kaseya将此次攻击归因于利用其VSA产品的本地版本中的零日漏洞.这些缺陷允许攻击者绕过身 ...
十个常用网络密码的安全保护措施
今天为大家举出十类密码安全和保护措施,可以帮助用户提高网络安全意识. 本文摘自:晨露博客原文链接: http://www.chenlublog.com/post/24.html 1.使用复杂 ...
十大WEB安全问题（OWASP Top Ten Project-2017）
开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正.实际.有成本效益的信息.其目的 ...
关于VMware虚拟机的侧通道缓解措施
关于VMware虚拟机的侧通道缓解措施启用了侧通道缓解措施的 VM 可能会出现性能下降性能下降的根本原因很是 Spectre 和 Meltdown 等侧通道攻击的缓解措施.侧通道攻击允许恶意进程或 ...

十大密码攻击及缓解措施

十大密码攻击及缓解措施相关推荐

最新文章

热门文章