甚麽是暴力攻擊?
暴力攻擊是指使用試誤法(trial-and-error)來猜測登入資訊、加密金鑰或查找隱藏的網頁。黑客透過所有可能的組合,希望能猜對。
這些攻擊是透過「暴力」完成的,即是他們使用無數次的嘗試來試圖「強行」進入你的私人帳戶。
這是一種古老的攻擊方法,但它仍然有效且受到黑客的歡迎。因為根據密碼的長度和複雜性,破解密碼可能需要幾秒到幾年的時間。
黑客可從暴力攻擊中獲得甚麽?
暴力攻擊者必須付出一些努力才能在這些計劃中得到回報。雖然技術確實使這種方法變得更容易,但你可能仍然會質疑:為甚麽有人會這樣做?
以下是黑客如何從暴力攻擊中獲益:
- 從廣告中獲利或收集活動資料
- 盜取個人資料和貴重物品
- 傳播惡意軟件以造成中斷
- 劫持你的系統進行惡意活動
- 破壞網站的聲譽
從廣告中獲利或收集活動資料。
黑客可以與其他人合作利用網站來賺取廣告佣金。常用的方法包括:
- 將垃圾廣告放到流量大的網站上,在訪客每次點擊或查看廣告時賺錢。
- 將網站的流量重新導向受委託的廣告網站。
- 使用活動跟蹤惡意軟件(通常是間諜軟件)感染網站或它的訪客。在未經你同意的情況下將資料出售予廣告商,從而幫助他們改進營銷活動。
盜取個人資料和貴重物品。
闖入網上帳戶就像打開銀行金庫一樣:從銀行戶口到稅務資訊,一切都可以在網上找到。犯罪分子只需要闖入正確的目標,就可以盜取你的身份、金錢或出售你的私人憑據以牟利。有時,整個機構的敏感資料庫可能會在企業級的資料洩露事件中完全暴露。
傳播惡意軟件以造成破壞。
如果黑客想要製造麻煩或練習他們的技能,他們可能會將網站的流量重新導向到惡意網站。或者,他們可能會直接用安裝在訪客的電腦上的隱藏惡意軟件來感染網站。
劫持你的系統進行惡意活動。
當一部機器不夠用時,黑客會招募一堆毫無戒心的設備,然後透過這支稱為殭屍網絡的大軍加快進行他們的攻擊。惡意軟件可以滲透你的電腦、流動裝置或網上帳戶,進行垃圾郵件網絡釣魚、增強的暴力攻擊等活動。如果你沒有防毒系統,則感染的風險可能更高。
破壞網站的聲譽。
如果你經營一個網站並成為破壞目標,網絡犯罪分子可能會決定使用淫穢內容來侵擾你的網站。這可能包括暴力、色情或種族冒犯性質的文字、圖像和音訊。
暴力攻擊的類型
每次暴力攻擊都可以使用不同的方法來發現你的敏感資料。你可能會接觸到以下任何一種流行的暴力破解方法:
- 簡單的暴力攻擊
- 字典攻擊
- 混合暴力攻擊
- 反向暴力攻擊
- 憑證填充
簡單的暴力攻擊:黑客嘗試根據邏輯猜測你的憑據 -- 完全沒有軟件工具或其他手段的幫助。這種方法可以發現極其簡單的密碼和 PIN 碼。例如,密碼設定為「guest12345」。
字典攻擊:在標準的攻擊中,黑客選擇一個目標並針對該使用者名運行可能的密碼。這種方法稱為字典攻擊。字典攻擊是暴力攻擊中最基本的工具。雖然本身不一定屬於暴力攻擊,但這種方法通常屬於密碼破解的重要組成部分。一些黑客會運行未刪節的詞典,並使用特殊字元和數字來擴充單詞,或者使用特殊的單詞詞典,但這種類型的順序攻擊在操作上很麻煩。
混合暴力攻擊:這些黑客將外部手段與他們的邏輯猜測結合,然後嘗試闖入。混合攻擊通常混合使用字典攻擊和暴力攻擊。這些攻擊用於找出將常用字詞與隨機字元混合在一起的組合密碼。這種性質的暴力攻擊例子包括 NewYork1993 或 Spike1234 等密碼。
反向暴力攻擊:顧名思義,反向暴力攻擊是透過從已知密碼開始以反向方式進行攻擊的策略。然後,黑客會搜索數百萬個使用者名,直到找到匹配的使用者名。這些犯罪分子中的很多人都是從已洩露的密碼開始,而這些密碼可以從現有的資料洩露事件中在網上獲得。
憑證填充:如果黑客已有一個適用於一個網站的使用者名及密碼組合,他們也會嘗試在很多其他網站上使用這個組合。由於是使用已知使用者可能在很多網站上重複使用的登入資料,因此他們是此類攻擊的唯一目標。
工具輔助的暴力破解嘗試
猜測特定使用者或網站的密碼可能需要很長時間,因此黑客開發了工具來更快地完成這項工作。
自動化工具有助進行暴力攻擊。這些攻擊使用快速猜測,目的是要創造每個可能的密碼並嘗試使用它們。暴力破解軟件可以在一秒內找到一個字典單詞密碼。
像這樣的工具是以編寫程式來設計破解方法,以便能:
- 用於很多電腦協定(例如,FTP、MySQL、SMPT 和 Telnet)
- 讓黑客破解無線數據機。
- 識別弱密碼
- 解密加密儲存中的密碼。
- 將單詞翻譯成「黑客文(leetspeak)」 -- 例如,「don't thackme」變成「d0n7H4cKm3」。
- 運行所有可能的字元組合。
- 進行字典攻擊。
某些工具會掃描預先建立的彩虹表,從而查找已知雜湊函數的輸入和輸出。這些「雜湊函數」是以演算法為基礎的加密方法,用於將密碼轉換為固定長度的長字母和數字系列。換句話說,彩虹表消除了暴力攻擊中最困難的部分,從而加快猜測過程。
GPU 加速暴力破解嘗試
運行暴力破解密碼軟件需要大量的電腦資源。不幸的是,黑客已成功設計了硬件解決方案,使這部分工作變得更加容易。
將 CPU 和圖形處理單元 (GPU) 結合可提高運算能力。透過在 GPU 中添加數千個運算核心進行處理,系統就能夠同時處理多個任務。GPU 處理用於分析、工程和其他運算密集型應用程式。使用這種方法的黑客破解密碼的速度比單獨使用 CPU 大約快 250 倍。
那麼,破解密碼需要多長時間?從這個角度來看,包含數字的六個字元密碼大約有 20 億種可能的組合。使用每秒嘗試 30 個密碼的強大 CPU 破解它需要兩年多的時間。添加一個功能強大的 GPU 卡可以讓同一台電腦每秒測試 7,100 個密碼,並在 3.5 天內破解密碼。
專業人員保護密碼的步驟
為了保護自己和網絡安全,你需要採取預防措施並幫助他人也這樣做。使用者的行為和網絡安全系統都需要加強。
對於資訊科技專家和使用者,同樣需要緊記一些一般守則:
- 使用高級使用者名和密碼。使用比 admin 和 password1234 更強的憑據來保護自己,從而阻擋攻擊者。這種組合越強,任何人都越難攻破。
- 刪除任何具有高級許可權限的未被使用帳戶。在網絡上,這些帳戶尤如設有弱鎖的門,使闖入變得容易。無人維護的帳戶是一個你不能冒風險的漏洞。必須盡快刪除它們。
一旦你掌握了基礎知識,你就會想要加強你的安全防護,並進而引導使用者。
我們將從你可以在後端執行的工作開始,然後向你提供一些支持安全習慣的小提示。
密碼的被動後端保護
高加密率:為了使暴力攻擊更難成功,系統管理員應確保其系統的密碼以盡可能高的加密率進行加密,例如256 位元加密。加密計劃中的位元越多,密碼就越難破解。
對雜湊值加鹽:管理員還應該對密碼添加一個隨機的字母和數字字串(稱為鹽)來隨機化密碼雜湊值。此字串應儲存在單獨的資料庫中,並在對密碼進行雜湊處理之前檢索並添加到密碼中。透過對雜湊值進行加鹽處理,具有相同密碼的使用者就會具有不同的雜湊值。
雙因素身份驗證 (2FA):此外,管理員可以要求兩步身份驗證,以及安裝入侵偵測系統來偵測暴力攻擊。這種方法會要求使用者使用第二個因素(例如,物理 USB 金鑰或指紋生物識別掃描)來跟進登入嘗試。
限制登入重試次數:限制嘗試次數還可以降低使用暴力攻擊的意願。例如,只允許三次嘗試輸入正確的密碼,然後就會封鎖用戶幾分鐘,這樣做可能會導致嚴重的延遲並導致黑客轉向更容易的目標。
登入嘗試過多後封鎖帳戶:如果在臨時封鎖後仍可以無休止地重試密碼,黑客便會返回來重試。封鎖帳戶並要求使用者聯絡資訊科技部門進行解鎖可阻止這種活動。較短的封鎖計時器對使用者來說會更方便,但便利性可能會成為一個漏洞。為了平衡這一點,如果在短暫封鎖後,再出現過多的登入失敗次數,你可以考慮使用長期封鎖。
限制重複登入的速率:你可以透過在每次登入嘗試之間建立一個空間來進一步減慢攻擊者的嘗試。如果登入失敗,計時器可以拒絕登入,直到經過一段很短的時間。這個滯後時間可讓你的實時監控團隊有時間發現並努力阻止這種威脅。如果黑客覺得不值得等待,就可能會停止嘗試。
重複登入嘗試後需要驗證碼:手動驗證確實可以阻止利用機械人強行存取你的資料。驗證碼有多種類型,包括重新輸入圖像中的文字、勾選複選框或識別圖片中的物件。無論你使用哪種類型,都可以在首次登入之前和每次嘗試失敗後使用它來進一步保護。
使用 IP 拒絕清單阻止已知攻擊者。確保管理此清單的人會不斷進行更新。
針對密碼的主動資訊科技支援保護
密碼教育:使用者行為對於密碼安全十分重要。為使用者提供安全實踐方法的教育和可幫助他們追蹤密碼的工具。像 Kaspersky Password Manager 等服務可讓使用者將複雜、難以記住的密碼儲存在加密的「保險庫」中,而不是以不安全的方式將它們寫在記事簿中。由於使用者往往會為了方便而犧牲自己的安全,因此請務必幫助並向他們提供方便的工具,以確保他們的安全。
實時監視帳戶的奇怪活動:奇怪的登入位置、過多的登入嘗試等。努力發現異常活動的趨勢,並採取措施即時阻止任何潛在的攻擊者。注意對 IP 位址的阻擋、帳戶封鎖,並聯絡使用者以確定帳戶活動是否合法(如果看起來可疑)。
使用者如何加強密碼來抵禦暴力攻擊
作為使用者,你可以做很多事情來加強保護你在數碼世界的活動。防止密碼攻擊的最佳方法是確保使用盡可能強大的密碼。
暴力攻擊依靠時間來破解你的密碼。因此,你的目標是確保你的密碼能盡量減慢這些攻擊的速度,因為如果花費太長時間,攻擊就變得不值得…大多數黑客都會放棄並尋找其他目標。
你可以透過以下幾種方式加強密碼免受暴力攻擊:
含有不同字元類型的較長密碼。如果可能,使用者應選擇包含符號或數字的 10 個字元的密碼。這樣做會產生 171.3 萬億 (1.71 x 1020) 的可能組合。使用每秒嘗試 103 億次雜湊值的 GPU 處理器,破解密碼大約需要 526 年。雖然,一部超級電腦可以在幾週內破解它。按照這個邏輯,包含更多字元會使你的密碼更難破解。
精心設計的密碼短語。並非所有網站都接受很長的密碼,這意味著你應該選擇複雜的密碼短語而不是單個字詞。字典攻擊是專門為單個字詞短語而創造的,幾乎可以毫不費力地進行攻擊。密碼短語(由多個字詞或句段組成的密碼)應加入額外的字元和特殊字元類型。
制定用於建立密碼的規則。最好的密碼是那些你能記住,但對其他任何閱讀它們的人都沒有意義的密碼。如果採用密碼短語方法,請考慮使用截斷的字詞,例如用「wd」替代「wood」,從而建立一個僅對你有意義的字串。其他例子可能包括刪除元音或僅使用每個字詞的前兩個字母。
避免使用常用的密碼。避免使用最常見的密碼並經常更改密碼非常重要。
為你使用的每個網站使用唯一的密碼。為了避免成為憑證填充的受害者,切勿重複使用密碼。如果你想將安全性提高一個層次,請為每個網站使用不同的使用者名。如果你的某個帳戶遭到破壞,就可以防止其他帳戶被盜用。
使用密碼管理器。安裝密碼管理器可自動建立和追蹤你的網上登入資訊。這些密碼管理器可讓你透過先登入密碼管理器來存取你的所有帳戶。然後,你可以為你瀏覧的所有網站建立極長且複雜的密碼,然後安全地將它們儲存起來,而你只需要記住一個主密碼。
如果你想知道「我的密碼需要多長時間才能破解」 你可以在 測試密碼強度。
Kaspersky Internet Security 在 2021 年獲得了兩項表彰互聯網安全產品的最佳性能和保護的 AV--TEST 奬項。在所有測試中,Kaspersky Internet Security 都表現出色的性能和發揮網絡威脅的保護。
