什么是蛮力攻击? 如何确保用户帐户安全

已发表: 2021-06-25

单独的密码不能保护用户帐户,但您可以。

仅仅为了它而设置一个通用密码会给你一个变相的安全保证。 但是,密码通常是可预测的,这使您很容易成为暴力攻击的目标。

蛮力攻击试图通过破解用户凭据或加密密钥来窃取或解密您的敏感信息或用恶意软件感染系统。 安全解决方案,例如  多重身份验证 (MFA)   系统提供了坚实的防御来保护用户帐户免受暴力攻击。

您可以为用户实施 MFA 作为第一道防线,并通过各种预防措施来丰富它。

什么是蛮力攻击?

蛮力攻击是检查用户 ID 和密码的可能组合以渗透身份验证系统并成功登录到 Web 应用程序或操作系统的系统方法。

蛮力攻击不仅限于用户 ID 和密码。 一般来说,蛮力攻击是指通过一致的试错过程试图揭示敏感信息的次数。 它们还包括猜测和验证在密码设置期间创建的似是而非的加密密钥,通常称为详尽密钥研究

攻击者主要使用暴力破解密码破解(即利用设置密码中的漏洞并获得未经授权的访问)。 这类  网络攻击  渗透身份验证机制并允许恶意黑客访问您的 IT 资产。

蛮力攻击是密码分析攻击,当攻击者无法找到他们可以轻松利用的漏洞时使用。 攻击者付出巨大努力来利用可能无法带来预期收益的漏洞是没有意义的。

在这种情况下,蛮力攻击成为攻击者的潜在选择工具,因为它们更容易执行,并且如果成功执行,可能会带来大量不道德的好处。 攻击者使用一组登录 ID 和密码自动执行密码猜测过程,并通过破解身份验证和加密协议获得好处。

短密码在攻击过程中更容易且相对较快地猜出,但较长的密码会占用大量时间和计算能力。

为什么黑客会进行暴力攻击?

网络犯罪分子通常会进行暴力攻击以发现您的敏感信息并访问您的系统。 攻击背后的意图可能是利用您的信息获取访问权限,并对您的资产或组织发起更大的网络攻击。

80%

2020 年由黑客攻击造成的数据泄露涉及暴力破解或使用丢失或被盗的凭据。

资料来源:威瑞森

黑客可以进行攻击以暴力破解密码或密码,使您的帐户和网络容易受到数据泄露的影响。 为第三方获取用户凭据也可能是暴力攻击的一个目标。 这些凭据可能会在以后用于从受害者的数据中获得不道德的利益或损害他们的公众声誉。

威胁参与者可以使用蛮力攻击进行  社会工程学  通过受感染的用户帐户发送网络钓鱼电子邮件进行攻击。

黑客什么时候使用暴力攻击?

恶意黑客通常在有足够时间攻击目标时采取暴力攻击路线。 蛮力攻击可能是一个耗时且漫长的过程。 它涉及运行几种可能的密码组合或加密密钥。

随着用户凭证的字符串长度增加,预计破解时间也会增加。 这是一个缓慢但一帆风顺的过程。 如果有足够的时间,攻击者可以进行暴力攻击以破解基于密码的系统并访问受害者的资产,而无需利用技术漏洞。

蛮力攻击的类型

攻击者可以使用多种技术来收敛蛮力攻击。 你应该有一个可靠的防御机制来保护自己免受攻击。

简单的暴力攻击

简单的蛮力攻击涉及攻击者进行逻辑猜测以破解您的身份验证系统。 这些不是由软件工具辅助的,而是基于它们可能对您拥有的详细信息。

例如,检查“name12345”或“name@123”以及其他几个变体作为数字和字符密码。 对于个人识别码 (PIN),攻击者可能会以相反的顺序遍历您的出生年份或出生年份以及与您或您的家人相关的类似数字。

混合暴力攻击

攻击者猜测可能超出其逻辑范围的密码,通过考虑常见(或趋势)单词与随机字符的组合来进行混合暴力攻击。 它包括检查“marvel2020”或“bitcoin36000”等密码以及类似的变体。

它从识别潜在密码的外部逻辑开始,然后以一种简单的方法继续尝试和测试几种可能的组合。

反向蛮力攻击

反向蛮力攻击从已知密码开始,并针对多个用户 ID 进行测试。 攻击者通常使用互联网上共享的泄露密码作为垫脚石,以找到匹配的用户 ID 以访问目标的资产。

在反向蛮力攻击中,攻击者不是针对特定用户,而是查找特定密码的用户 ID。

凭证填充

凭据填充滥用了许多用户可以在多个系统中使用相同的用户名和密码这一事实。 攻击者在各种网站上使用成对的泄露用户名和密码来找到成功的匹配项。

攻击者利用凭证填充来接管用户帐户。 当他们从数据泄露或密码转储网站中获取用户凭据时,他们会根据社交媒体平台或在线市场等多个网站对其进行检查。 攻击者可以窃取您的信用卡详细信息、社会安全号码和其他敏感数据,以执行新的恶意活动以找到成功的匹配项。

字典攻击

字典攻击要求攻击者使用普通单词(就像它们在字典中一样)与典型的数字序列或密码破解中的特殊字符配对。 攻击者可能会使用标准字典或为恶意目的制作的唯一字典。 例如,他们可能会检查蒸汽、钢铁、陡峭等密码。

字典攻击通常会成功,因为用户有在密码中使用日常单词的固有倾向。

彩虹表攻击

彩虹表是密码及其哈希值的预计算字典。 在系统中,密码不存储为纯文本,而是使用加密进行哈希处理。 当用户输入密码时,它会被转换成相应的哈希值,并通过存储的哈希值进行验证。 如果匹配,用户就可以访问他们的帐户。

攻击者利用彩虹哈希表在彩虹表攻击中破解密码。 由于多个文本可以具有相同的哈希值,因此只要攻击者可以使用哈希进行身份验证,就不需要知道实际密码。

虽然彩虹表攻击需要充足的准备时间,但实际攻击要快得多,因为算法交易会随着时间的减少而增加空间使用。

蛮力攻击示例

蛮力攻击的最终目标是窃取数据或中断服务交付。 因此,这些攻击已成为对组织安全状况的重大威胁。

近期历史上一些值得注意的蛮力攻击示例是:

  • 2013 年, GitHub成为暴力攻击的受害者,其中几个安全存储的密码被泄露。 已确定暴力登录尝试来自大约 40,000 个唯一 IP 地址。
  • 2013 年, Club Nintendo遭到暴力攻击,影响了 25,000 名论坛成员。攻击者进行了 1500 万次暴力破解尝试破解用户帐户。
  • 阿里巴巴的淘宝网在 2016 年遭受了暴力攻击,2100 万用户账户被盗。 攻击者使用包含近 9900 万个用户名和密码的数据库来暴力破解现有的淘宝用户帐户。
  • Mozilla Firefox 的主密码功能在 2018 年成为暴力攻击的受害者。暴露的用户凭据数量未知。 2019 年,Firefox 推出了解决此问题的修复程序。
  • 2018 年, Magento遭到暴力攻击,近 1000 个管理面板遭到破坏。

蛮力攻击工具

暴力攻击是在自动工具的帮助下进行的,这些工具会检查用户凭据,直到找到成功的匹配项。 使用许多可能的用户名和密码,手动测试变得很棘手。 因此,攻击者利用自动化来加速这种情况下的猜测过程。

以下是一些著名的暴力攻击工具示例*:

  • THC Hydra通过对 30 多种协议(HTTP、FTP、HTTPS 等)执行字典攻击来破解网络身份验证。
  • Aircrack-ng对 Wi-Fi 802.11 进行暴力攻击,用于借助 WEP/WPA/WPA2-PSK 破解工具和分析工具破解 Wi-Fi 密码。
  • John the Ripper用于破解弱密码和渗透基于密码的系统。 支持Unix、Windows、DOS等15个多平台。
  • Rainbow Crack生成彩虹表来执行暴力攻击,并有助于减少攻击的时间跨度。
  • L0phtCrack用于通过字典攻击、混合攻击和彩虹表来破解 windows 密码。

* 这些工具只能用于道德目的,以测试和加强系统以抵御暴力攻击。

如何检测暴力攻击

攻击者可以进行多种变体的蛮力攻击。 您需要设置预防措施并强制执行以保护自己免受此类攻击。

以下是一些可能暗示暴力攻击的迹象:

  • 从一个 IP 地址尝试多次登录失败
  • 来自多个 IP 地址的单个用户帐户的登录请求
  • 从同一 IP 地址使用多个用户名登录
  • 使用某人的邮件或 IRC 客户端的引用 URL 登录
  • 单次使用有问题的使用和带宽消耗
  • 使用字母或顺序用户名或密码进行的登录尝试失败
  • 将 URL 引用到密码共享网站

通过早期检测和适当的预防措施,组织可以限制他们遭受暴力攻击。

如何防止暴力攻击

蛮力攻击是在反复试验的基础上进行的,并且没有可以针对的技术漏洞。 因此,您需要遵循安全最佳实践来保护您的资产免受暴力攻击,而不是仅仅加强您的防御机制。

强制使用强而独特的密码

创建不可预测且唯一的强密码可以抵御暴力攻击。 例如,与密码中父母的姓名和出生年份相比,一个冗长而复杂的密码将难以猜测。

确保您为多个用户帐户使用不同的密码。 对所有帐户使用相似的用户凭据使攻击者很容易利用和提取所有帐户的敏感信息。

锁定用户帐户

用户帐户中的一系列失败登录尝试可能表明可能存在暴力攻击。 您可以将此类用户帐户锁定一段特定的时间,或在管理员许可的情况下将其解锁。

帐户锁定必须以受控方式执行。 当大规模进行蛮力攻击时,它们很容易导致拒绝服务。 在这种情况下,具有渐进延迟的帐户锁定是合适的解决方案,即对于每组失败的登录尝试,帐户锁定的时间跨度逐渐增加。

您需要注意帐户锁定可能不是有效选择的情况:

  • 缓慢的蛮力攻击,在固定的时间跨度内仅进行几次登录尝试。
  • 反向蛮力攻击,其中一个密码针对多个用户名进行检查。
  • 多个帐户锁定,导致 IT 帮助台的支持需求增加,并将其用作转移以进行更大的网络攻击。

帐户锁定适用于风险高于拒绝服务的地方。 企业可以使用  入侵检测和预防系统  设置自定义规则以限制 IP 地址并以受控方式进行帐户锁定。

采用双重身份验证 (2FA)

两因素身份验证  被广泛用作抵御暴力攻击的第一道防线。 它要求用户两次证明自己的身份,即使攻击者成功匹配密码,也能降低安全漏洞的风险。

大多数黑客(除了少数顽固的黑客)都会退后一步,寻找更容易的目标。 但是您应该确保您对其他帐户(电子邮件、安全软件等)拥有不同的用户凭据,以防止黑客获得对它们的访问权限并通过 2FA。

监控服务器日志

仔细分析所有服务器日志,因为它们是识别各种暴力攻击模式的重要数据源。 根据这些日志,您可以深入了解规划未来的防御策略并确保帐户或网络安全。

安全信息和事件管理 (SIEM) 系统  作为集中存储、监控和分析所有日志的优秀解决方案。 在帐户泄露的情况下,SIEM 系统将帮助您收集数字取证以启动事件响应计划。

使用验证码

CAPTCHA 的工作原理是测试用户通过计算机难以通过的简单挑战。 例如,要求用户计算图像中黄色笔的数量很容易。 尽管如此,机器解释图像仍然是一个难题。

尽管 CAPTCHA 增加了用户访问用户帐户的步骤数,但它对确保帐户安全非常有益。 它可能会动摇用户的体验,但它通过保护敏感信息免受自动暴力攻击和机器人攻击来增强他们的信任。

加倍预防

采用最佳预防技术并构建所需的安全技术堆栈,以保护您的系统免受暴力攻击并维护网络安全。

如果攻击者即使在执行预防措施后仍设法侵入身份验证系统,请启动您的事件响应计划以控制和限制他们可能造成的损害。