十大密码攻击及缓解措施

今天，密码依然是许多组织整体网络安全防御中最薄弱的环节之一，同时也是最热门的攻击对象之一，根据卡巴斯基的报告，2021年三季度密码窃取恶意软件的攻击激增了45%，针对个人用户的攻击数量也增长了近30%。为了帮助企业和个人更好地保护密码安全，以下我们整理了十大主流密码攻击及其防护措施（其中一些存在分类上的交集或从属关系）：

十大密码攻击（及主要缓解措施）

以下是企业最常遭遇的十大密码攻击和缓解措施，有效和针对性的缓解措施可以大大减少攻击受损和关键业务数据的丢失和泄露。

1. 暴力攻击

2. 字典攻击

3. 密码喷洒

4. 凭证填充

5. 网络钓鱼

6. 键盘记录器攻击

7. 社会工程攻击

8. 重设密码

9. 物理盗窃

10. 密码重用

1、暴力攻击

暴力攻击指黑客使用大量常见或泄露密码进行大量访问尝试的简单粗暴的密码攻击。即使是使用当今的高性能CPU能力的“游戏PC”级的计算机也可以每秒“猜测”数十亿个密码。

缓解措施：

帐户锁定、密码长度要求（长度超过20个字符）、阻止使用增量密码和常见组合，以及泄露密码防护、自定义字典和MFA（多因素认证）。

2、字典攻击

字典攻击是暴力攻击的一种，在破解密码或密钥时，逐一尝试用户自定义词典中的可能密码（单词或短语）的攻击方式。与暴力破解的区别是，暴力破解会逐一尝试所有可能的组合密码，而字典式攻击会使用一个预先定义好的单词列表（可能的密码）。

缓解措施：

密码长度/密码超过20个字符，阻止增量/常见模式密码，泄露密码防护，自定义字典，MFA。

3、密码喷洒

穷举攻击是固定好用户名，利用多个密码尝试验证。与穷举攻击相反，密码喷洒攻击是固定好密码，尝试多个用户名进行验证。密码喷洒使用一个或数个通用密码“碰撞”许多不同的帐户，这种方法可以避免（多次密码尝试后的）帐户锁定阈值，许多组织将账户密码的错误尝试次数限制在3到5次。

通过每次只尝试少于锁定阈值的一个密码，攻击者可以在整个组织中尝试多个密码，而不会被Active Directory中的默认保护机制阻止。密码喷洒攻击者通常会选择最终用户常用的密码、或使用已在网上泄露的密码。

缓解措施：

密码长度超过20个字符，阻止增量/常见模式弱密码，泄露密码防护，自定义字典，MFA。

4、凭证填充（撞库）

凭证填充（Credential Stuffing）是一种自动黑客攻击，也就是我们习惯称的“撞库”,利用从一项服务数据泄露中获得的登录凭据尝试登录到另一个不相关的服务。凭借高达2%的成功率，凭证填充自动程序占全球需多大型网站所有登录流量的90%以上，并且产生大量二手数据泄露。

缓解措施：

阻止增量/常见模式弱密码、泄露密码防护/自定义字典、MFA、帐户锁定

5、网络钓鱼

网络钓鱼是一种古老的攻击，已经有几十年历史，但至今仍然非常有效，非常主流。网络钓鱼攻击通过欺诈手段操纵人们执行操作或泄露机密信息，通常通过电子邮件进行实施。例如，攻击者伪装成合法组织或服务，以诱使用户泄露帐户信息。

最常见的网络钓鱼策略是“紧急恐吓”，钓鱼电子邮件中可能包含诸如“紧急，您的帐户已被黑客入侵”之类的措辞。攻击者利用最终用户的恐慌情绪，让用户在“保护信息”时泄露信息。

缓解措施：

网络安全意识培训、MFA、配置电子邮件横幅、邮件服务器配置（DKIM、SPF等）

6、键盘记录器攻击

键盘记录器攻击用于记录用户在键盘上输入的敏感信息，例如帐户信息。键盘攻击涉及软件和硬件。例如，间谍软件可以记录键盘敲击以窃取各种敏感数据，从密码到信用卡号码。如果攻击者可以物理访问最终用户的计算机，则可以将物理硬件设备与键盘关联以记录输入的击键。

缓解措施：

安全意识培训、最新的恶意软件保护、恶意URL保护、MFA、阻止未知USB设备、密码管理器、对关键业务环境的安全物理访问。

7、社会工程攻击

社会工程包括一系列恶意活动，以操纵人们执行操作或泄露机密信息，包括网络钓鱼、语音钓鱼、社交媒体、诱饵和跟踪等。例如，网络钓鱼攻击是一种社会工程攻击形式，攻击者会诱骗您向他们提供敏感信息，例如密码、银行信息或对您的计算机或移动设备的控制权。

缓解措施：

安全意识培训、安全的MFA方法（例如不使用安全问题）

8、密码重置

密码重置攻击是一种经典的社会工程攻击技术，攻击者假冒受害者致电服务台请求重置密码。黑客只需要说服服务台工作人员向他们提供新密码，而不是试图猜测或破解它。大型企业的服务台员工可能并不认识所有员工，因此尤其危险。疫情期间随着更多员工转向混合或完全远程工作模式，重置攻击也变得越来越普遍——因为验证最终用户并不像亲自打招呼那么简单。多项研究表明，密码重置中间人攻击非常简单有效。

缓解措施：

服务台的验证/MFA、安全意识培训、使用MFA的自助密码重置(SSPR)

9、物理盗窃

写下密码是一种常见且非常危险的活动。贴在显示器上的“写有主密码的便利贴”很容易成为一次重大数据泄露事件的诱因。在密码管理中强制执行复杂性要求可能会导致用户将其写下来。对于少量需要记忆的密码，可选择使用密码短语组合的方式。如果您的最终用户正在为关键业务系统使用多个密码，请使用密码管理器。总之，显示器或桌子上的“物理密码”是大忌。

缓解措施：

安全意识培训、使用密码短语和密码管理器

10、密码重用

密码重用是数据泄露的主要原因之一。研究发现，超过70%的员工在工作中重复使用密码。在个人和公司帐户之间共享密码会使您的网络容易受到帐户攻击。如果您注册的爱好者论坛被黑客入侵，并且您在公司帐户中使用相同的密码，您的密码最终会出现在暗网上，公司系统也因此变得脆弱。

缓解措施：

安全意识培训、密码短语、密码管理器、泄露密码防护、自定义字典、阻止增量、日常模式密码。