今天是世界密码日!欢欣鼓舞,因为今天是我们所有朋友将密码从更改为 的abc123日子123abc!!!当我们谈到密码时,网站鼓励(好吧,强制)更安全的密码的一件事是要求用户创建一个通常至少包括以下内容的密码:
但是有这么多网站在第五次尝试(有时是第三次-_-)时将您锁定,黑客如何能够使用暴力迭代方法找出您的密码(循环通过一组最常见的密码,然后字母/数字组合等)?使密码更复杂的要求似乎毫无意义,因为黑客在被锁定之前很少会尝试超过五次。因此,虽然拥有典型password密码的人很容易被黑客入侵,因为它是最常用的密码,但拥有类似密码fartbubbles的人不太可能被发现。或者是吗?
作为一个微不足道的附录,我一点也不精通数字安全,所以请随时指出我所说的任何愚蠢的东西并纠正我。笑:]
是的,攻击者和渗透测试人员仍然使用 Hydra 等工具对密码进行批量测试。也就是说,这种技术对于银行网站之类的东西可能不具有成本效益,但用户通常会在另一个安全性低得多的网站上使用完全相同的电子邮件和密码对,例如个人博客、爱好者论坛或约会网站。因此,这些是会发生更多暴力破解的站点。
我还会指出一些可能不明显的东西。这并不代表大多数密码是如何被攻击者丢失的。可以通过大量方法攻击站点,过去几年中一种非常常见的方法是 SQL 注入。当这样的攻击可用时,它可以让攻击者或渗透测试人员访问数据库,该数据库有时包含给定网站的所有密码。然后,攻击者可以从另一个漏洞中提取数据库的副本。同样,攻击者将这些用户名和密码的整个数据库发布到诸如 pastebin.com 之类的网站上的情况并不少见,其他攻击者和渗透测试人员可以在这些网站上获取并使用它们。
这是我认为普通人并没有真正意识到的事情,我希望不要在银行网站等网站上使用与在安全性不太受关注的网站上使用相同的密码,这是更普遍的知识。
同样,保护用于银行或其他高安全性网站的任何电子邮件帐户的密码也非常重要。特别是如果未使用多因素身份验证令牌。访问电子邮件帐户可用于在大量网站上进行密码重置,并迅速让攻击者访问大量数字资产和帐户。因此,在可能的情况下始终启用多因素或双因素身份验证,这确实会产生巨大的影响。
许多网站在 5 次尝试后关闭了给定的 IP 地址......
如果攻击者有一个僵尸网络,则有数百台机器每台尝试 5 次尝试。这给出了 500 次猜测,足以捕获任何真正常见的密码。这对于大多数帐户来说是不值得的,但它是尝试的管理员和银行帐户。
即使在不同的 IP 地址上,前五次失败的登录尝试后,精心配置的网站也会开始请求验证码或 2 因素身份验证。
虽然在几次不正确的登录尝试后很容易锁定单个帐户,但很难防范针对僵尸网络中分布在数千台计算机上的每个帐户的攻击,可能使用代理来掩盖和/或更改 IP 地址,特别是当攻击被故意放慢以避免引起怀疑时。
虽然单个用户可以通过选择一个不常见的密码来相当容易地迫使单个攻击者达到其单个帐户的锁定阈值,但只尝试每个帐户的前五个密码的攻击者很可能会访问大部分服务上的帐户。
因此,您提到的密码策略并不是为了保护个人帐户。他们将通过试图迫使每个人避免使用最常见的密码来保护整个帐户集合。如果没有人可以使用前五个密码之一,那么理论上攻击者成功的机会要小得多。
实际上,攻击者可能可以预测一个人将使用的少数修改将“密码”和“123456”更改为“P@ssword1”和“Abc123456!”。因此,某些帐户可能仍会以这种方式受到损害。
正如其他人所指出的,密码重用、网络钓鱼、对被盗密码数据库的离线攻击,或这些的组合往往是更成功的攻击。但由于密码策略和帐户锁定等原因,在概念上更简单的尝试密码的方法并没有那么有效。