密碼是如何被盜的(以及保證密碼安全的 10 個簡單步驟)
已發表: 2022-03-15
“RockYou2021:有史以來最大的密碼彙編在網上洩露了 84 億個條目”
“警方在被黑的雲服務器上發現了 2.25 億個被盜密碼”
不幸的是,這些頭條新聞並不是什麼新鮮事。 密碼洩露/被盜的危險現已眾所周知。 技術嚮導一直在開發和測試最終將取代密碼使用的工具,但預計這種過渡不會很快完全實施。
大多數網站和應用程序不允許通過生物識別數據進行身份驗證,這意味著我們的用戶仍然只能使用不起眼的密碼。 現實情況是,許多人仍然不使用密碼管理器,而是在多個網站和應用程序(包括在線銀行等關鍵應用程序)中重複使用相同的密碼。
這意味著,如果您想保護您的資產,採取預防措施保護您的密碼(同樣,除非您使用密碼管理器)是必不可少的。
不過,在我們去那里之前,也許最好先看看數據洩漏/盜竊是如何發生的,因為了解該過程可能在防止它方面發揮重要作用。
密碼是如何被黑客入侵和竊取的
他們可能聲稱代表與他們的目標有業務往來的公司。 他們經常冒充政府官員,包括執法人員、稅務代理人和社會保障局僱員。 有時他們聲稱是代表目標的家人或朋友打電話。
這些犯罪分子會試圖傳達一種緊迫感,如果他們未能立即提供他們要求的信息,他們甚至可能會以逮捕或失去獲得福利的方式威脅他們的目標。
這些憑據被加載到應用程序中,這些應用程序可以針對大量希望找到匹配項並獲得訪問權限的站點快速測試它們。 每年記錄數億次此類攻擊。
竊取憑據的應用程序和功能實際上可能是鍵盤記錄器、惡意軟件包,它們不僅記錄您的密碼,還記錄您的所有擊鍵,然後將它們傳輸給不良行為者。
憑據竊取惡意軟件也可以內置到旨在看起來像信譽良好的實體的網站中。 例如,攻擊者可能會發送一條網絡釣魚消息,聲稱在目標的銀行賬戶中發現了可疑活動,並且目標必須立即登錄到他或她的賬戶才能更改密碼。
受害者單擊消息中的鏈接並被帶到一個看起來合法的銀行網站,在那裡他或她被指示輸入登錄憑據以開始密碼重置過程。 這樣做會為攻擊者提供受害者的銀行帳戶憑據。
創建了一些惡意的類似網站,希望隨機的個人會無意中登陸它們並被騙出他們的用戶名和密碼。
高科技版本是中間人攻擊。 攻擊者經常光顧公共 Wi-Fi 網絡,他們使用現成的工具來監控網絡流量並從使用網絡的人那裡竊取敏感數據,包括帳戶登錄憑據。
有時,網絡犯罪分子會創建自己的公共 Wi-Fi 網絡,設計成看起來像是合法企業的網絡,唯一目的是竊取用戶數據。 公共 Wi-Fi 網絡本質上是不安全的。
事實上,使用中的密碼數量持續增加,積極嘗試竊取密碼的攻擊者數量也在增加。 應認真對待密碼保護,因此請繼續盡可能多地實施這些技巧。
“警方在被黑的雲服務器上發現了 2.25 億個被盜密碼”
不幸的是,這些頭條新聞並不是什麼新鮮事。 密碼洩露/被盜的危險現已眾所周知。 技術嚮導一直在開發和測試最終將取代密碼使用的工具,但預計這種過渡不會很快完全實施。
大多數網站和應用程序不允許通過生物識別數據進行身份驗證,這意味著我們的用戶仍然只能使用不起眼的密碼。 現實情況是,許多人仍然不使用密碼管理器,而是在多個網站和應用程序(包括在線銀行等關鍵應用程序)中重複使用相同的密碼。
這意味著,如果您想保護您的資產,採取預防措施保護您的密碼(同樣,除非您使用密碼管理器)是必不可少的。
不過,在我們去那里之前,也許最好先看看數據洩漏/盜竊是如何發生的,因為了解該過程可能在防止它方面發揮重要作用。
密碼是如何被黑客入侵和竊取的
猜測——最簡單的方法
在 2020 年,發現三個最常用的密碼是“123456”、“123456789”和“password”。 當使用 HaveIBeenPwned 提供的工具(絕對值得一遊)進行搜索時,發現這些密碼在掃描洩露數據期間出現了數千萬次。 以下是截至 2022 年 1 月的報告結果:- 123456 - 37,359,195 次出場
- 123456789 - 16,629,796 次出場
- 密碼 - 9,545,824 次出現
網絡釣魚和其他社會工程攻擊變種
網絡犯罪分子通常通過電話(網絡釣魚)、電子郵件(網絡釣魚)、短信(短信)或社交媒體帳戶直接聯繫他們的目標。 在這些攻擊中,詐騙者通常會冒充他人來說服受害者提供登錄憑據等敏感信息。他們可能聲稱代表與他們的目標有業務往來的公司。 他們經常冒充政府官員,包括執法人員、稅務代理人和社會保障局僱員。 有時他們聲稱是代表目標的家人或朋友打電話。
這些犯罪分子會試圖傳達一種緊迫感,如果他們未能立即提供他們要求的信息,他們甚至可能會以逮捕或失去獲得福利的方式威脅他們的目標。
蠻力和填充攻擊
如前所述,黑客確實擁有可以快速生成隨機密碼並對其進行測試以確定它們是否會提供對目標帳戶的訪問權限的工具。 Stuffing 是暴力破解的一種變體,涉及使用先前被盜的憑據,這些憑據暴露在違規行為中,並且可以通過暗網提供給犯罪分子。這些憑據被加載到應用程序中,這些應用程序可以針對大量希望找到匹配項並獲得訪問權限的站點快速測試它們。 每年記錄數億次此類攻擊。
憑據竊取惡意軟件
當您單擊網絡釣魚電子郵件中的惡意鏈接、打開受感染的電子郵件附件、意外訪問攻擊者的網站或安裝並非來自可靠來源的應用程序時,您的設備可能會感染憑據竊取惡意軟件。竊取憑據的應用程序和功能實際上可能是鍵盤記錄器、惡意軟件包,它們不僅記錄您的密碼,還記錄您的所有擊鍵,然後將它們傳輸給不良行為者。
憑據竊取惡意軟件也可以內置到旨在看起來像信譽良好的實體的網站中。 例如,攻擊者可能會發送一條網絡釣魚消息,聲稱在目標的銀行賬戶中發現了可疑活動,並且目標必須立即登錄到他或她的賬戶才能更改密碼。
受害者單擊消息中的鏈接並被帶到一個看起來合法的銀行網站,在那裡他或她被指示輸入登錄憑據以開始密碼重置過程。 這樣做會為攻擊者提供受害者的銀行帳戶憑據。
創建了一些惡意的類似網站,希望隨機的個人會無意中登陸它們並被騙出他們的用戶名和密碼。
肩部衝浪和中間人攻擊
術語“肩部衝浪”描述了從某人的肩膀上看過去以觀察他們的計算機或設備顯示屏上的內容並試圖發現密碼或其他敏感信息的策略。高科技版本是中間人攻擊。 攻擊者經常光顧公共 Wi-Fi 網絡,他們使用現成的工具來監控網絡流量並從使用網絡的人那裡竊取敏感數據,包括帳戶登錄憑據。
有時,網絡犯罪分子會創建自己的公共 Wi-Fi 網絡,設計成看起來像是合法企業的網絡,唯一目的是竊取用戶數據。 公共 Wi-Fi 網絡本質上是不安全的。
如何通過 10 個簡單的步驟保護我的密碼免受黑客攻擊
以下是您可以輕鬆實施以保護您的密碼、帳戶和敏感信息的策略:- 一個基本的經驗法則:獲取密碼管理器/保險庫。 這些是專門為保護您的密碼安全而設計的應用程序。 有了它們,您只需記住一個主密碼(仍然遵循以下規則!)
- 不要包含真實的單詞。 如果可能的話,自己編一些不太可能被“猜到”的詞(例如“Radamabla”)
- 不要使用生日和其他容易識別的數據(例如姓氏)
- 不要使用弱(簡單)的密碼。 您的密碼應該冗長、複雜,並且包含大小寫字母、數字和特殊字符。
- 為您的每個帳戶使用不同的密碼。 如果一個帳戶被盜用,其他帳戶不會因為使用相同的憑據而受到威脅(尤其是不要在電子郵件帳戶和財務帳戶上重複密碼)
- 在可用的地方使用 2FA(雙因素身份驗證)。 這為登錄過程添加了另一個組件。 在大多數情況下,它是通過文本或電子郵件發送到您的設備的 PIN。 如果攻擊者能夠竊取您的登錄憑據,如果沒有這個附加因素,他們仍然無法完成登錄。
- 除非您確定可以信任電子郵件、文本或社交媒體消息的來源,尤其是如果消息有異常或可疑之處,否則您應避免打開任何附件或單擊任何包含的鏈接。
- 當您訪問網站時,請確保它們使用的是 HTTPS。 鎖定的掛鎖應顯示在瀏覽器頂部的站點 URL 左側,表明使用了此安全協議。 一些犯罪分子現在已經開始在他們的網站上使用 HTTPS,因此這種方法在保護您的信息免受詐騙者侵害方面並非 100% 有效,但遵循此建議將幫助您避免惡意網站。
- 確保您設備上的操作系統是最新的,並設置為自動下載和安裝更新。 此外,請確保您的所有設備都在運行反惡意軟件/防病毒應用程序。
- 避免使用公共 Wi-Fi,除非您的設備還配備了虛擬專用網絡 (VPN) 應用程序並且該應用程序正在使用中。 VPN 對進出您的設備的數據進行加密。 即使被不良行為者截獲,也無法解碼和讀取數據。 如果您沒有 VPN 並且必須使用公共 Wi-Fi,請避免登錄任何帳戶或通過消息服務發送任何敏感信息。
最後的想法
十多年來,科技出版物一直在預測密碼的終結,但它仍然存在。事實上,使用中的密碼數量持續增加,積極嘗試竊取密碼的攻擊者數量也在增加。 應認真對待密碼保護,因此請繼續盡可能多地實施這些技巧。