密码无疑是最常见的保护账户安全的措施之一。随着互联网木马和攻击的日益猖獗,许多企业的密码应用已经成为整体安全体系中最薄弱的环节之一。由于密码是非法攻击者侵入企业网络环境最简单的方式之一,因此面临越来越多的攻击。为了更深入地了解如何保护企业密码免受攻击,我们收集了以下常见的密码攻击方法和对策。1.暴力破解攻击暴力破解是指黑客使用大量常用或泄露的密码试图集中访问网络时所进行的密码攻击。凭借当今高性能CPU的计算能力,即使是游戏级计算机也能每秒猜出数十亿个密码。它通过暴力主动猜测合法用户帐户的密码。安全措施:帐户锁定、密码长度和密码短语超过20个字符、阻止增量密码和常见模式、密码保护受损、自定义词典和多因素身份验证(MFA)。2.字典攻击字典攻击从某种意义上说是暴力破解的方法之一,它使用一个大型的常用密码数据库(类似于字典)作为源。它用于通过输入字典中的每个单词和这些单词的派生词,以及之前泄露的密码或密码短语来非法访问受密码保护的资产。保护措施:密码长度/密码短语超过20个字符,阻止增量密码/常见模式,防止密码泄露,自定义词典和MFA。3.密码喷洒攻击密码喷洒攻击试图对许多不同的帐户、服务和组织使用一个或两个通用密码,以避免对单个帐户进行检测或锁定。攻击者使用这种方法来避免超过设置的帐户锁定阈值,许多组织通常将其设置为在三到五次错误输入后锁定帐户。只要在锁定阈值内正确输入密码,攻击者就可以在整个组织中成功尝试多个密码,而不会被ActiveDirectory中的默认保护机制阻止。攻击者选择终端用户常用的密码和数学公式来猜测密码,或者使用已经在密码泄露网站发布的泄露密码。保护措施:密码长度/密码短语超过20个字符,阻止增量密码/常见模式,防止密码泄露,自定义词典和MFA。4.凭据填充凭据填充是一种自动攻击,它试图在登录过程中窃取用户名和密码组合以试图闯入。凭据可能来自大型数据库,其中包含可在线购买的实际受损帐户和密码。凭据高达2%的成功率,凭据填充攻击者占世界上许多最大网站的所有登录流量的90%以上,导致大量二次数据泄露。防御:阻止增量/通用模式、泄露的密码保护/自定义词典、MFA和帐户锁定。5.网络钓鱼网络钓鱼是一种已经使用了几十年的古老攻击方式,但它仍然非常有效。网络钓鱼攻击旨在引诱人们采取行动或泄露机密信息,通常是通过电子邮件。例如,攻击者冒充合法组织或服务提供商,诱导用户泄露账户信息。其他钓鱼邮件使用“非常紧迫的恐吓战术”来提示用户迅速泄露信息。该电子邮件可能包含类似“紧急通知:您的帐户已被盗用”之类的内容。攻击者利用最终用户的恐慌情绪,诱使用户在错误地认为攻击者正在保护信息的情况下泄露信息。在使用个人设备的组织中,网络犯罪分子可以使用这些网络钓鱼策略来诱骗最终用户交出公司登录信息。防御措施:网络安全意识培训、MFA、配置电子邮件横幅和邮件服务器配置(DKIM、SPF等)。6.键盘记录器攻击键盘记录器攻击用于记录敏感信息,例如输入的帐户信息。它可能涉及软件和硬件。例如,间谍软件可以记录击键以窃取从密码到信用卡号等敏感数据。如果攻击者获得对最终用户计算机的访问权限,则可以将物理硬件设备连接到键盘以记录键入的内容。保护措施:安全意识培训、最新的恶意软件保护、恶意URL保护、MFA、阻止未知USB设备、密码管理器以及强化业务关键环境的物理访问。7.社会工程攻击社会工程攻击包括一系列恶意活动,以说服人们执行操作或泄露机密信息,包括网络钓鱼、语音网络钓鱼、社交媒体引诱和跟踪。例如,网络钓鱼攻击是一种社会工程技术,攻击者会诱骗您提供敏感信息,例如密码和银行详细信息,或者交出您的计算机或移动设备的控制权。社会工程攻击通常试图利用人性的自然倾向。与使用其他方式破解密码相比,攻击者诱骗您提供密码信息通常要容易得多。防御措施:加强企业安全意识培训,应用安全的MFA方法8.密码重置密码重置攻击也是一种经典的社会工程手段,用于获取网络访问权限:致电服务台、冒充他人、请求新密码。黑客无需尝试猜测或破解密码,只需说服服务台工作人员为他们提供新密码即可。这对于服务台员工可能不认识所有员工的大型组织尤其危险。随着员工转向混合或完全远程模式,此类攻击也变得越来越普遍,因为对最终用户进行身份验证并不像亲自打招呼那么简单。保护措施:帮助台的增强身份验证/MFA、安全意识培训、自助服务密码重置(SSPR)与MFA相结合。参考链接:https://www.bleepingcomputer.com/news/security/the-top-10-password-attacks-and-how-to-stop-them/
