密码是如何被盗的(以及保证密码安全的 10 个简单步骤)
已发表: 2022-03-15
“RockYou2021:有史以来最大的密码汇编在网上泄露了 84 亿个条目”
“警方在被黑的云服务器上发现了 2.25 亿个被盗密码”
不幸的是,这些头条新闻并不是什么新鲜事。 密码泄露/被盗的危险现已众所周知。 技术向导一直在开发和测试最终将取代密码使用的工具,但预计这种过渡不会很快完全实施。
大多数网站和应用程序不允许通过生物识别数据进行身份验证,这意味着我们的用户仍然只能使用不起眼的密码。 现实情况是,许多人仍然不使用密码管理器,而是在多个网站和应用程序(包括在线银行等关键应用程序)中重复使用相同的密码。
这意味着,如果您想保护您的资产,采取预防措施保护您的密码(同样,除非您使用密码管理器)是必不可少的。
不过,在我们去那里之前,也许最好先看看数据泄漏/盗窃是如何发生的,因为了解该过程可能在防止它方面发挥重要作用。
密码是如何被黑客入侵和窃取的
他们可能声称代表与他们的目标有业务往来的公司。 他们经常冒充政府官员,包括执法人员、税务代理人和社会保障局雇员。 有时他们声称是代表目标的家人或朋友打电话。
这些犯罪分子会试图传达一种紧迫感,如果他们未能立即提供他们要求的信息,他们甚至可能会以逮捕或失去获得福利的方式威胁他们的目标。
这些凭据被加载到应用程序中,这些应用程序可以针对大量希望找到匹配项并获得访问权限的站点快速测试它们。 每年记录数亿次此类攻击。
窃取凭据的应用程序和功能实际上可能是键盘记录器、恶意软件包,它们不仅记录您的密码,还记录您的所有击键,然后将它们传输给不良行为者。
凭据窃取恶意软件也可以内置到旨在看起来像信誉良好的实体的网站中。 例如,攻击者可能会发送一条网络钓鱼消息,声称在目标的银行账户中发现了可疑活动,并且目标必须立即登录他或她的账户才能更改密码。
受害者单击消息中的链接并被带到一个看起来合法的银行网站,在那里他或她被指示输入登录凭据以开始密码重置过程。 这样做会为攻击者提供受害者的银行帐户凭据。
创建了一些恶意的类似网站,希望随机的个人会无意中登陆它们并被骗出他们的用户名和密码。
高科技版本是中间人攻击。 攻击者经常光顾公共 Wi-Fi 网络,他们使用现成的工具来监控网络流量并从使用网络的人那里窃取敏感数据,包括帐户登录凭据。
有时,网络犯罪分子会创建自己的公共 Wi-Fi 网络,设计成看起来像是合法企业的网络,唯一目的是窃取用户数据。 公共 Wi-Fi 网络本质上是不安全的。
事实上,使用中的密码数量持续增加,积极尝试窃取密码的攻击者数量也在增加。 应认真对待密码保护,因此请继续尽可能多地实施这些技巧。
“警方在被黑的云服务器上发现了 2.25 亿个被盗密码”
不幸的是,这些头条新闻并不是什么新鲜事。 密码泄露/被盗的危险现已众所周知。 技术向导一直在开发和测试最终将取代密码使用的工具,但预计这种过渡不会很快完全实施。
大多数网站和应用程序不允许通过生物识别数据进行身份验证,这意味着我们的用户仍然只能使用不起眼的密码。 现实情况是,许多人仍然不使用密码管理器,而是在多个网站和应用程序(包括在线银行等关键应用程序)中重复使用相同的密码。
这意味着,如果您想保护您的资产,采取预防措施保护您的密码(同样,除非您使用密码管理器)是必不可少的。
不过,在我们去那里之前,也许最好先看看数据泄漏/盗窃是如何发生的,因为了解该过程可能在防止它方面发挥重要作用。
密码是如何被黑客入侵和窃取的
猜测——最简单的方法
在 2020 年,发现三个最常用的密码是“123456”、“123456789”和“password”。 当使用 HaveIBeenPwned 提供的工具(绝对值得一游)进行搜索时,发现这些密码在扫描泄露数据期间出现了数千万次。 以下是截至 2022 年 1 月的报告结果:- 123456 - 37,359,195 次出场
- 123456789 - 16,629,796 次出场
- 密码 - 9,545,824 次出现
网络钓鱼和其他社会工程攻击变种
网络犯罪分子通常通过电话(网络钓鱼)、电子邮件(网络钓鱼)、短信(短信)或社交媒体帐户直接联系他们的目标。 在这些攻击中,诈骗者通常会冒充他人来说服受害者提供登录凭据等敏感信息。他们可能声称代表与他们的目标有业务往来的公司。 他们经常冒充政府官员,包括执法人员、税务代理人和社会保障局雇员。 有时他们声称是代表目标的家人或朋友打电话。
这些犯罪分子会试图传达一种紧迫感,如果他们未能立即提供他们要求的信息,他们甚至可能会以逮捕或失去获得福利的方式威胁他们的目标。
蛮力和填充攻击
如前所述,黑客确实拥有可以快速生成随机密码并对其进行测试以确定它们是否会提供对目标帐户的访问权限的工具。 Stuffing 是暴力破解的一种变体,涉及使用先前被盗的凭据,这些凭据暴露在违规行为中,并且可以通过暗网提供给犯罪分子。这些凭据被加载到应用程序中,这些应用程序可以针对大量希望找到匹配项并获得访问权限的站点快速测试它们。 每年记录数亿次此类攻击。
凭据窃取恶意软件
当您单击网络钓鱼电子邮件中的恶意链接、打开受感染的电子邮件附件、意外访问攻击者的网站或安装并非来自可靠来源的应用程序时,您的设备可能会感染凭据窃取恶意软件。窃取凭据的应用程序和功能实际上可能是键盘记录器、恶意软件包,它们不仅记录您的密码,还记录您的所有击键,然后将它们传输给不良行为者。
凭据窃取恶意软件也可以内置到旨在看起来像信誉良好的实体的网站中。 例如,攻击者可能会发送一条网络钓鱼消息,声称在目标的银行账户中发现了可疑活动,并且目标必须立即登录他或她的账户才能更改密码。
受害者单击消息中的链接并被带到一个看起来合法的银行网站,在那里他或她被指示输入登录凭据以开始密码重置过程。 这样做会为攻击者提供受害者的银行帐户凭据。
创建了一些恶意的类似网站,希望随机的个人会无意中登陆它们并被骗出他们的用户名和密码。
肩部冲浪和中间人攻击
术语“肩部冲浪”描述了从某人的肩膀上看过去以观察他们的计算机或设备显示屏上的内容并试图发现密码或其他敏感信息的策略。高科技版本是中间人攻击。 攻击者经常光顾公共 Wi-Fi 网络,他们使用现成的工具来监控网络流量并从使用网络的人那里窃取敏感数据,包括帐户登录凭据。
有时,网络犯罪分子会创建自己的公共 Wi-Fi 网络,设计成看起来像是合法企业的网络,唯一目的是窃取用户数据。 公共 Wi-Fi 网络本质上是不安全的。
如何通过 10 个简单的步骤保护我的密码免受黑客攻击
以下是您可以轻松实施以保护您的密码、帐户和敏感信息的策略:- 一个基本的经验法则:获取密码管理器/保险库。 这些是专门为保护您的密码安全而设计的应用程序。 有了它们,您只需记住一个主密码(仍然遵循以下规则!)
- 不要包含真实的单词。 如果可能的话,自己编一些不太可能被“猜到”的词(例如“Radamabla”)
- 不要使用生日和其他容易识别的数据(例如姓氏)
- 不要使用弱(简单)的密码。 您的密码应该冗长、复杂,并且包含大小写字母、数字和特殊字符。
- 为您的每个帐户使用不同的密码。 如果一个帐户被盗用,其他帐户不会因为使用相同的凭据而受到威胁(尤其是不要在电子邮件帐户和财务帐户上重复密码)
- 在可用的地方使用 2FA(双因素身份验证)。 这为登录过程添加了另一个组件。 在大多数情况下,它是通过文本或电子邮件发送到您的设备的 PIN。 如果攻击者能够窃取您的登录凭据,如果没有这个附加因素,他们仍然无法完成登录。
- 除非您确定可以信任电子邮件、文本或社交媒体消息的来源,尤其是如果消息有异常或可疑之处,否则您应避免打开任何附件或单击任何包含的链接。
- 当您访问网站时,请确保它们使用的是 HTTPS。 锁定的挂锁应显示在浏览器顶部的站点 URL 左侧,表明使用了此安全协议。 一些犯罪分子现在已经开始在他们的网站上使用 HTTPS,因此这种方法在保护您的信息免受诈骗者侵害方面并非 100% 有效,但遵循此建议将帮助您避免恶意网站。
- 确保您设备上的操作系统是最新的,并设置为自动下载和安装更新。 此外,请确保您的所有设备都在运行反恶意软件/防病毒应用程序。
- 避免使用公共 Wi-Fi,除非您的设备还配备了虚拟专用网络 (VPN) 应用程序并且该应用程序正在使用中。 VPN 对进出您的设备的数据进行加密。 即使被不良行为者截获,也无法解码和读取数据。 如果您没有 VPN 并且必须使用公共 Wi-Fi,请避免登录任何帐户或通过消息服务发送任何敏感信息。
最后的想法
十多年来,科技出版物一直在预测密码的终结,但它仍然存在。事实上,使用中的密码数量持续增加,积极尝试窃取密码的攻击者数量也在增加。 应认真对待密码保护,因此请继续尽可能多地实施这些技巧。