大多数人都知道良好的上网安全习惯,但往往却不能执行到位,使自身面临字典式攻击的风险。此外,尽管明知应当保护在线账户的安全,仍有许多人没有遵循最基本的安全准则,例如创建强密码。事实上,Google 的一项研究发现,估计有 65% 的人将同样的密码用在多个账户上。除此之外,59% 的人用容易猜到或发现的个人信息来创建密码,比如宠物名字和生日。
此外,人们还经常使用简单、明显的密码,很容易被破解。研究表明,像“123456”和“qwerty”这样的连续按键,以及“Password”、“iloveyou”和“Welcome”这样的短语都是最常用的密码,也非常容易造成数据泄露。
这意味着,这些攻击极为常见,而且非常成功,这仅仅因为人们没有重视对字典式攻击的防范。
字典式攻击:定义
字典式攻击采用最简单的形式,属于一种暴力破解攻击,黑客试图通过快速遍历一个包含常用字词、短语和数字组合的列表来猜测用户的在线账户密码。字典式攻击成功破解密码后,黑客可以利用该密码访问银行账户、社交媒体上的个人资料,甚至是受密码保护的文件等等。这对受攻击的用户来说,就是一个实实在在的问题了。
字典式攻击是如何运作的?
这类黑客攻击采用系统化方法来破解密码。成功实施这类黑客攻击基本上有三个步骤,而了解这些步骤有助于学习如何防范字典式攻击。
- 一般来说,攻击者会创建一个预定义的潜在密码列表,即暴力破解字典,其中包括流行的字词和数字的组合。
- 然后,自动化软件利用这个暴力破解字典来试图攻击在线账户。
- 一旦字典式攻击成功入侵了一个安全防线薄弱的账户,黑客就会利用个人资料中存储的任何敏感数据来为自己谋利。这可能是实施欺诈、采取恶意行动,或者只是为了访问账户以谋取经济利益。
在整理潜在密码列表时,攻击者通常会使用常见的宠物名字、可识别的流行文化角色或主流运动队和运动员等等。这是因为很多人使用这类字词来创建对他们有意义并且容易记住的密码。该列表通常包括这些字词的变体,例如不同的字词组合或添加特殊字符。
使用自动化工具运行此列表也让字典式攻击更容易成功。结合使用密码列表和自动化工具,可以更快地尝试破解密码并入侵在线账户。如果手动操作,攻击会花费太长时间,使得账户所有者或系统管理员有时间发现异常并针对攻击采取防御措施。
由于运作方式,这些字典式攻击通常不会锁定单个目标。相反,字典攻击的目的是希望列表中的某个密码是正确密码。然而,如果攻击者锁定了某个特定的地方或组织,他们会创建一个针对性更强、更为本地化的字词列表。例如,如果他们打算在西班牙实施攻击,可能会使用常见的西班牙语单词而不是英语单词。或者,如果他们针对的是某个特定的组织,他们可能会使用与该公司相关的字词。
字典式攻击与暴力破解:两者有什么区别?
尽管字典式攻击是一种暴力破解攻击,但两者之间存在重要区别。字典式攻击使用预设的字词列表来系统地尝试破解账户密码,而暴力破解不使用列表,而是尝试所有可能被用于创建密码的字母、符号和数字的随机组合。因此,字典式攻击通常更有效,成功的几率也更高,仅仅因为它们需要尝试的组合要少得多。
26 个英文字母,加上 10 个个位数字,总共有 36 个字符,可能的组合数量众多,暴力破解攻击要想成功,几乎是不切实际的。也就是说,暴力破解攻击要想破解一个包含 10 个字符的密码,就需要尝试 3.76 百万的四次方个潜在字母数字混合密码。
然而,暴力破解攻击的优势在于更有可能通过反复试错方法破解出较难攻破的唯一密码。由于这类攻击遍历了如此全面的潜在密码列表,最终更有可能找到任何给定密码的正确字符组合。
如何防范字典式攻击
要防范字典式攻击,首先要了解什么是字典式攻击以及它们是如何运作的。要想加强对字典式攻击的防范,可以参考如下建议:
- 尽可能避免使用密码:要避免字典式攻击,最简单、最万无一失的方法是完全杜绝对密码的使用。如果可以,应使用无密码的身份验证解决方案和生物特征登录方式来确保账户安全。
- 使用随机密码:创建密码时尽量避免包含生日、宠物名字等个人信息或其他容易被发现的信息。密码管理器可以帮助用户安全地创建、存储和输入密码。
- 避免过于明显的密码:令人意外的是,许多人使用最基本的、易于破解的字词和数字组合作为密码,例如“Password123”或“abcd1234”。这些密码最容易被黑客破解,因为字典式攻击专用于破解这些容易猜到的密码。
- 选择一个口令:不要选择字词和数字组合作为密码,而是创建一个完整的口令用于访问账户。这些口令更难猜出,但用户通常容易记住。例如,喜欢足球的人可能会用“I want to be a linebacker for the Patriots”这样的口令。为了提高口令的安全性,可以添加随机数字、字符和大写字母,比如将口令变成“IW@nT2B@L!n3B@ckER4THEPatr!0tS!”。
- 使用双因素身份验证:将账户设置成每次登录都需要通过两个(或更多)形式的身份验证。例如,密码、身份验证应用程序生成的一次性密码以及指纹。
- 尝试身份验证应用程序如果可能,尝试用身份验证应用程序来代替密码或与密码同时使用。很多这类应用程序可以轻松下载到手机上并与特定账户绑定,在用户每次尝试登录时提供随机生成的一次性密码。
- 限制尝试登录的次数:一些网站和应用程序目前会限制特定时间段内允许尝试登录的次数。如果有此功能,可在各账户上启用,从而避免字典式攻击。
- 强制重置:字典式攻击通常需要多次尝试破解密码。在尝试登录失败达到特定的次数后,强制重置密码,这样可将攻击成功的可能性降至最低。如果您的账户无法自动启用该功能,您可以手动设定成,当尝试登录失败时,由在线账户向您发送电子邮件提醒。如果您收到有人试图访问某个账户的通知,特别是如果您在短时间内连续收到多个这样的通知,为了确保账户的安全,您可以登录账户并更改密码。
- 避免使用特定字词:所有密码中都要避免使用常见字词,为账户安全多加一层防护。
密码管理器有助于防范字典式攻击吗?
密码管理器可以用于安全地管理您的账户凭证,并将受到字典式攻击的可能性降至最低。像 Kaspersky Password Manager 这样的应用程序有助于保护密码的安全,具有很多益处。以下是考虑使用密码管理器的一些原因:
- 只需使用一个密码:使用密码管理器后,您只需记住一个主密码,即可登录您的账户并管理个人账户的所有其他登录。
- 生成随机强密码:大多数密码管理器都允许用户创建非常强大的随机生成密码。这类密码不使用常见的字词或短语,所以通常能够在字典式攻击下保持安全。当然,暴力破解攻击仍有可能成功。
- 轻松访问账户:密码管理器通常能够安全地存储每个账户的登录信息,然后在用户每次尝试登录网站、账户或应用程序时自动填写这些信息。
- 安全共享密码:如果需要与朋友、家人或同事等共享账户密码,密码管理器让用户能够以安全的方式进行共享,同时还能管理访问权限。
- 使用安全存储:很多密码管理器现在还支持以加密格式存储个人文件、医疗记录和照片等内容,保障任何敏感数据的安全。
采取措施防范字典式攻击
字典式攻击是一种很常见的网络犯罪,黑客利用这种攻击手段来访问个人账户,包括银行账户、社交媒体上的个人资料和电子邮件。一旦获得这些访问权限,黑客可进一步实施各种行动,比如金融欺诈、发布恶意的社交媒体帖子以及网络钓鱼等网络犯罪。然而,只要采取一定的保护措施就可以有效防范字典式攻击,将遭遇这类攻击的风险降至最低。例如,遵循智能密码管理习惯、采用不同类型的身份验证,以及使用现成的密码管理器,都有助于确保密码和账户的安全。
2021 年,Kaspersky Endpoint Security 荣获企业端点安全产品最佳性能、最佳保护和最佳可用性等三项 AV-TEST 奖项。在所有测试中,Kaspersky Endpoint Security 都展现出一流的性能、保护能力和可用性,能够为企业提供强大保护。
相关的文章和链接:
相关产品和服务: