转载：“破解密码的8种典型手段与防护建议”

原文：https://www.makeuseof.com/tag/5-common-tactics-hack-passwords/

提到黑客攻击，你会想到什么？一个恶意攻击者坐在满是《黑客帝国》式数字屏幕前？或是一台强大的超级计算机正试图入侵整个世界？事实上，很多网络攻击可能只涉及一件事——破解你的密码。如果有人能获取你的账户密码，那根本无需任何花哨的黑客技术，就可以轻松窃取你的数字资产。

"未知攻，焉知防"，为更有效地提升安全防护水平，组织应了解攻击者如何使用下述8种策略来破解密码：

在常用密码攻击技术中，“字典攻击”位居首位。之所以称之为“字典攻击”是因为它会自动对已定义的“字典”中的每个单词进行密码测试。当然，这里的字典可不是你在学校用的那本，而是一个包含最常用密码组合的小文件，其中包括123456、qwerty、password、iloveyou、hunter2等等。【取常用密码字典中的密码去测试】

比如下面是人们常用的密码：

研究人员发现，很多脆弱、容易破解的密码长期保持不变，只是顺序略有不同而已，如果你不想别人知道你的密码，永远不要使用这些经常被使用的弱密码。

尽可能使用密码管理工具【密钥管理】，为每个业务账户设置一个强大且单一的密码，密码管理器允许用户将各种密码安全地存储在一个数据库中，然后你就可以为每个系统使用强大、复杂、安全的密码，同时不用担心密码遗忘。

暴力破解（brute force），又名暴力攻击、暴力猜解，从数学和逻辑学的角度，它属于穷举法在现实场景的运用，当攻击者获得密码哈希时，就会使用暴力破解来尝试登录用户账户，即通过利用大量猜测和穷举的方式来尝试获取用户口令的攻击方式。在实际应用中，暴力破解通常有如下四种技术形态：

网络钓鱼并非严格意义上的“黑客攻击”，但受害者通常会有非常糟糕的结局。一般的网络钓鱼邮件会被发送给全球各地各种各样的互联网用户，这绝对是盗取密码最流行的方式之一。目标用户会收到一封伪造的电子邮件，声称是来自一个知名组织或企业，欺诈邮件会强调紧急性，并突出一个网站链接，这个链接实际上连接到一个虚假的登录门户，只是它们看起来几乎和合法网站完全一样。只要受害用户输入他们的登录凭据，密码就会暴露。

研究发现，目前恶意邮件附件的数量很高，卡巴斯基仅在2021年就拦截了超过1.48亿个恶意附件。此外，卡巴斯基的反网络钓鱼系统还拦截了另外2.53亿个网络钓鱼链接，而这只是来自卡巴斯基系统的数据，所以实际钓鱼邮件数量要高得多。

社会工程的本质就是在现实世界中的网络钓鱼，攻击者通过电话等方式，告诉被攻击者，他们是新的办公室技术支持团队，需要其配合提供某些应用的密码进行测试或验证。一个毫无戒心的人往往会毫不犹豫地交出密码【诈骗】，可怕的是这种情况经常发生，社会工程已经存在了几个世纪，欺骗他人以进入安全区域是一种常见的攻击方法，只有通过教育才能防范，当有人称他们被骗泄露了密码时，这通常都是社会工程的结果。

成功的社会工程攻击在你意识到有问题的时候已经完成了，教育和安全意识是一个核心的缓解策略，同时，还应该避免发布个人信息，以免日后被攻击者用来欺骗。【所以尽早安装反诈APP吧！】

彩虹表本质上是一种破解用户密码的辅助工具，主要是通过建立“明文->密文”对应关系的数据库，破解时通过密文直接反查明文。

举个简单的例子：如果将哈希的密文比喻成一把锁，暴力破解的方式就是现场制作各种齿轮的钥匙进行尝试能否开锁，这个钥匙可能需要几十亿几百亿甚至更多，耗费的时间无疑非常的长，还不一定能够破解。而彩虹表就是事先做好大量的钥匙，并将钥匙按照某种规律进行分组，每组钥匙中只需要带最具特征的一把，然后用这些特征钥匙去尝试开锁，当发现某把特征钥匙差一点就能开锁了，则当场对该钥匙进行现场打磨，直到能开锁为止。这样就会大大缩短找钥匙开锁的时间。

彩虹表可以自己编程来生成，也可以使用RainbowCrack或Cain等软件来生成，当然，更简单的方式是直接购买预先填充的彩虹表，其中包含数百万个潜在的组合。

彩虹表提供了广泛的攻击潜力，是非常棘手的问题。因此，请避免以SHA1或MD5作为密码哈希算法的任何网站或系统。同时，可以采用“加盐（Salt）”措施，即在密码的特定位置插入特定的字符串【插入“随机数”？】，这个特定字符串就是“盐”，加盐后的密码哈希串与加盐前的哈希串完全不同，黑客用彩虹表得到的密码不再是真正的密码。即便黑客知道了“盐”的内容、加盐的位置，还需要对函数进行修改，彩虹表也需要重新生成，因此加盐能大大增加彩虹表攻击的难度。

有一种能窃取登录密码的恶意软件工具。恶意软件无处不在，有可能造成巨大的破坏。如果恶意软件变种带有键盘记录器，将有能力破坏你所有的账户。或者恶意软件可以专门针对隐私数据或引入远程访问木马来窃取你的密码。

主流的搜索引擎往往会不断地派发爬虫去浏览全网，首先找到各种页面，然后将页面上的文本和代码复制并储存在它们巨大的索引服务器上，这一过程就叫做爬行【爬虫？】。大多数组织会使用包含公司信息的密码，这些信息可以通过公司网站、社交媒体等途径获取，爬行就是从这些来源收集信息以提供单词列表，随后用于执行字典攻击和暴力破解。

肩窥指使用直接的观察技术【高级的偷看技术？】，站在别人身后，或越过肩膀探看别人操作进而获取密码。肩窥是一种获取密码的有效方法，因为当别人填表、在ATM机或POS机上输入PIN码、甚至在地铁等公共场合用手机或电脑打字发消息时，比较容易站在旁边观察。此外，肩窥也可以通过使用双筒望远镜或者其它视觉增强设备来实现远距离观察。

当输入密码时，要留意周围的人，并遮盖住输入设备及按键动作。