什麼是蠻力攻擊? 如何確保用戶帳戶安全

已發表: 2021-06-25

單獨的密碼不能保護用戶帳戶,但您可以。

僅僅為了它而設置一個通用密碼會給你一個變相的安全保證。 但是,密碼通常是可預測的,這使您很容易成為暴力攻擊的目標。

蠻力攻擊試圖通過破解用戶憑據或加密密鑰來竊取或解密您的敏感信息或用惡意軟件感染系統。 安全解決方案,例如  多重身份驗證 (MFA)   系統提供了堅實的防禦來保護用戶帳戶免受暴力攻擊。

您可以為用戶實施 MFA 作為第一道防線,並通過各種預防措施來豐富它。

什麼是蠻力攻擊?

蠻力攻擊是檢查用戶 ID 和密碼的可能組合以滲透身份驗證系統並成功登錄到 Web 應用程序或操作系統的系統方法。

蠻力攻擊不僅限於用戶 ID 和密碼。 一般來說,蠻力攻擊是指通過一致的試錯過程試圖揭示敏感信息的次數。 它們還包括猜測和驗證在密碼設置期間創建的似是而非的加密密鑰,通常稱為詳盡密鑰研究

攻擊者主要使用暴力破解密碼破解(即利用設置密碼中的漏洞並獲得未經授權的訪問)。 這類  網絡攻擊  滲透身份驗證機制並允許惡意黑客訪問您的 IT 資產。

蠻力攻擊是密碼分析攻擊,當攻擊者無法找到他們可以輕鬆利用的漏洞時使用。 攻擊者付出巨大努力來利用可能無法帶來預期收益的漏洞是沒有意義的。

在這種情況下,蠻力攻擊成為攻擊者的潛在選擇工具,因為它們更容易執行,並且如果成功執行,可能會帶來大量不道德的好處。 攻擊者使用一組登錄 ID 和密碼自動執行密碼猜測過程,並通過破解身份驗證和加密協議獲得好處。

短密碼在攻擊過程中更容易且相對較快地猜出,但較長的密碼會佔用大量時間和計算能力。

為什麼黑客會進行暴力攻擊?

網絡犯罪分子通常會進行暴力攻擊以發現您的敏感信息並訪問您的系統。 攻擊背後的意圖可能是利用您的信息獲取訪問權限,並對您的資產或組織發起更大的網絡攻擊。

80%

2020 年由黑客攻擊造成的數據洩露涉及暴力破解或使用丟失或被盜的憑據。

資料來源:威瑞森

黑客可以進行攻擊以暴力破解密碼或密碼,使您的帳戶和網絡容易受到數據洩露的影響。 為第三方獲取用戶憑據也可能是暴力攻擊的一個目標。 這些憑據可能會在以後用於從受害者的數據中獲得不道德的利益或損害他們的公眾聲譽。

威脅參與者可以使用蠻力攻擊進行  社會工程學  通過受感染的用戶帳戶發送網絡釣魚電子郵件進行攻擊。

黑客什麼時候使用暴力攻擊?

惡意黑客通常在有足夠時間攻擊目標時採取暴力攻擊路線。 蠻力攻擊可能是一個耗時且漫長的過程。 它涉及運行幾種可能的密碼組合或加密密鑰。

隨著用戶憑證的字符串長度增加,預計破解時間也會增加。 這是一個緩慢但一帆風順的過程。 如果有足夠的時間,攻擊者可以進行暴力攻擊以破解基於密碼的系統並訪問受害者的資產,而無需利用技術漏洞。

蠻力攻擊的類型

攻擊者可以使用多種技術來收斂蠻力攻擊。 你應該有一個可靠的防禦機制來保護自己免受攻擊。

簡單的暴力攻擊

簡單的蠻力攻擊涉及攻擊者進行邏輯猜測以破解您的身份驗證系統。 這些不是由軟件工具輔助的,而是基於它們可能對您擁有的詳細信息。

例如,檢查“name12345”或“name@123”以及其他幾個變體作為數字和字符密碼。 對於個人識別碼 (PIN),攻擊者可能會以相反的順序遍歷您的出生年份或出生年份以及與您或您的家人相關的類似數字。

混合暴力攻擊

攻擊者猜測可能超出其邏輯範圍的密碼,通過考慮常見(或趨勢)單詞與隨機字符的組合來進行混合暴力攻擊。 它包括檢查“marvel2020”或“bitcoin36000”等密碼以及類似的變體。

它從識別潛在密碼的外部邏輯開始,然後以一種簡單的方法繼續嘗試和測試幾種可能的組合。

反向蠻力攻擊

反向蠻力攻擊從已知密碼開始,並針對多個用戶 ID 進行測試。 攻擊者通常使用互聯網上共享的洩露密碼作為墊腳石,以找到匹配的用戶 ID 以訪問目標的資產。

在反向蠻力攻擊中,攻擊者不是針對特定用戶,而是查找特定密碼的用戶 ID。

憑證填充

憑據填充濫用了許多用戶可以在多個系統中使用相同的用戶名和密碼這一事實。 攻擊者在各種網站上使用成對的洩露用戶名和密碼來找到成功的匹配項。

攻擊者利用憑證填充來接管用戶帳戶。 當他們從數據洩露或密碼轉儲網站中獲取用戶憑據時,他們會根據社交媒體平台或在線市場等多個網站對其進行檢查。 攻擊者可以竊取您的信用卡詳細信息、社會安全號碼和其他敏感數據,以執行新的惡意活動以找到成功的匹配項。

字典攻擊

字典攻擊要求攻擊者使用普通單詞(就像它們在字典中一樣)與典型的數字序列或密碼破解中的特殊字符配對。 攻擊者可能會使用標準字典或為惡意目的製作的唯一字典。 例如,他們可能會檢查蒸汽、鋼鐵、陡峭等密碼。

字典攻擊通常會成功,因為用戶有在密碼中使用日常單詞的固有傾向。

彩虹表攻擊

彩虹表是密碼及其哈希值的預計算字典。 在系統中,密碼不存儲為純文本,而是使用加密進行哈希處理。 當用戶輸入密碼時,它會被轉換成相應的哈希值,並通過存儲的哈希值進行驗證。 如果匹配,用戶就可以訪問他們的帳戶。

攻擊者利用彩虹哈希表在彩虹表攻擊中破解密碼。 由於多個文本可以具有相同的哈希值,因此只要攻擊者可以使用哈希進行身份驗證,就不需要知道實際密碼。

雖然彩虹表攻擊需要充足的準備時間,但實際攻擊要快得多,因為算法交易會隨著時間的減少而增加空間使用。

蠻力攻擊示例

蠻力攻擊的最終目標是竊取數據或中斷服務交付。 因此,這些攻擊已成為對組織安全狀況的重大威脅。

近期歷史上一些值得注意的蠻力攻擊示例是:

  • 2013 年, GitHub成為暴力攻擊的受害者,其中幾個安全存儲的密碼被洩露。 已確定暴力登錄嘗試來自大約 40,000 個唯一 IP 地址。
  • 2013 年, Club Nintendo遭到暴力攻擊,影響了 25,000 名論壇成員。攻擊者進行了 1500 萬次暴力破解嘗試破解用戶帳戶。
  • 阿里巴巴的淘寶網在 2016 年遭受了暴力攻擊,2100 萬用戶賬戶被盜。 攻擊者使用包含近 9900 萬個用戶名和密碼的數據庫來暴力破解現有的淘寶用戶帳戶。
  • Mozilla Firefox 的主密碼功能在 2018 年成為暴力攻擊的受害者。暴露的用戶憑據數量未知。 2019 年,Firefox 推出了解決此問題的修復程序。
  • 2018 年, Magento遭到暴力攻擊,近 1000 個管理面板遭到破壞。

蠻力攻擊工具

暴力攻擊是在自動工具的幫助下進行的,這些工具會檢查用戶憑據,直到找到成功的匹配項。 使用許多可能的用戶名和密碼,手動測試變得很棘手。 因此,攻擊者利用自動化來加速這種情況下的猜測過程。

以下是一些著名的暴力攻擊工具示例*:

  • THC Hydra通過對 30 多種協議(HTTP、FTP、HTTPS 等)執行字典攻擊來破解網絡身份驗證。
  • Aircrack-ng對 Wi-Fi 802.11 進行暴力攻擊,用於借助 WEP/WPA/WPA2-PSK 破解工具和分析工具破解 Wi-Fi 密碼。
  • John the Ripper用於破解弱密碼和滲透基於密碼的系統。 支持Unix、Windows、DOS等15個多平台。
  • Rainbow Crack生成彩虹表來執行暴力攻擊,並有助於減少攻擊的時間跨度。
  • L0phtCrack用於通過字典攻擊、混合攻擊和彩虹表來破解 windows 密碼。

* 這些工具只能用於道德目的,以測試和加強系統以抵禦暴力攻擊。

如何檢測暴力攻擊

攻擊者可以進行多種變體的蠻力攻擊。 您需要設置預防措施並強制執行以保護自己免受此類攻擊。

以下是一些可能暗示暴力攻擊的跡象:

  • 從一個 IP 地址嘗試多次登錄失敗
  • 來自多個 IP 地址的單個用戶帳戶的登錄請求
  • 從同一 IP 地址使用多個用戶名登錄
  • 使用某人的郵件或 IRC 客戶端的引用 URL 登錄
  • 單次使用有問題的使用和帶寬消耗
  • 使用字母或順序用戶名或密碼進行的登錄嘗試失敗
  • 將 URL 引用到密碼共享網站

通過早期檢測和適當的預防措施,組織可以限制他們遭受暴力攻擊。

如何防止暴力攻擊

蠻力攻擊是在反複試驗的基礎上進行的,並且沒有可以針對的技術漏洞。 因此,您需要遵循安全最佳實踐來保護您的資產免受暴力攻擊,而不是僅僅加強您的防禦機制。

強制使用強而獨特的密碼

創建不可預測且唯一的強密碼可以抵禦暴力攻擊。 例如,與密碼中父母的姓名和出生年份相比,一個冗長而復雜的密碼將難以猜測。

確保您為多個用戶帳戶使用不同的密碼。 對所有帳戶使用相似的用戶憑據使攻擊者很容易利用和提取所有帳戶的敏感信息。

鎖定用戶帳戶

用戶帳戶中的一系列失敗登錄嘗試可能表明可能存在暴力攻擊。 您可以將此類用戶帳戶鎖定一段特定的時間,或在管理員許可的情況下將其解鎖。

帳戶鎖定必須以受控方式執行。 當大規模進行蠻力攻擊時,它們很容易導致拒絕服務。 在這種情況下,具有漸進延遲的帳戶鎖定是合適的解決方案,即對於每組失敗的登錄嘗試,帳戶鎖定的時間跨度逐漸增加。

您需要注意帳戶鎖定可能不是有效選擇的情況:

  • 緩慢的蠻力攻擊,在固定的時間跨度內僅進行幾次登錄嘗試。
  • 反向蠻力攻擊,其中一個密碼針對多個用戶名進行檢查。
  • 多個帳戶鎖定,導致 IT 幫助台的支持需求增加,並將其用作轉移以進行更大的網絡攻擊。

帳戶鎖定適用於風險高於拒絕服務的地方。 企業可以使用  入侵檢測和預防系統  設置自定義規則以限制 IP 地址並以受控方式進行帳戶鎖定。

採用雙重身份驗證 (2FA)

兩因素身份驗證  被廣泛用作抵禦暴力攻擊的第一道防線。 它要求用戶兩次證明自己的身份,即使攻擊者成功匹配密碼,也能降低安全漏洞的風險。

大多數黑客(除了少數頑固的黑客)都會退後一步,尋找更容易的目標。 但是您應該確保您對其他帳戶(電子郵件、安全軟件等)擁有不同的用戶憑據,以防止黑客獲得對它們的訪問權限並通過 2FA。

監控服務器日誌

仔細分析所有服務器日誌,因為它們是識別各種暴力攻擊模式的重要數據源。 根據這些日誌,您可以深入了解規劃未來的防禦策略並確保帳戶或網絡安全。

安全信息和事件管理 (SIEM) 系統  作為集中存儲、監控和分析所有日誌的優秀解決方案。 在帳戶洩露的情況下,SIEM 系統將幫助您收集數字​​取證以啟動事件響應計劃。

使用驗證碼

CAPTCHA 的工作原理是測試用戶通過計算機難以通過的簡單挑戰。 例如,要求用戶計算圖像中黃色筆的數量很容易。 儘管如此,機器解釋圖像仍然是一個難題。

儘管 CAPTCHA 增加了用戶訪問用戶帳戶的步驟數,但它對確保帳戶安全非常有益。 它可能會動搖用戶的體驗,但它通過保護敏感信息免受自動暴力攻擊和機器人攻擊來增強他們的信任。

加倍預防

採用最佳預防技術並構建所需的安全技術堆棧,以保護您的系統免受暴力攻擊並維護網絡安全。

如果攻擊者即使在執行預防措施後仍設法滲透身份驗證系統,請啟動您的事件響應計劃以控制和限制他們可能造成的損害。