不同类型的密码攻击概述

针对账户密码、凭据的攻击已成为网络安全团队和攻击者的主要关注点。通过微软调查，在截至2022年5月的12个月内，针对用户密码的攻击的数量翻了一倍，而Verizon的权威数据泄露调查报告发现，密码泄露导致了一半以上的数据泄露和80%以上的web应用程序攻击。凭据也是被盗的顶级数据类型之一——它们的广泛使用和潜在的进一步危害使其成为攻击者的主要目标。

黑客用来破坏用户密码的密码攻击类型大致分为两类：猜测和窃取。在本文中，我们将介绍这两个类别中最常见的密码攻击类型，帮助您识别并保护您的组织免受攻击。

密码攻击的类型：猜测

这类密码攻击的标准操作方法通常基于攻击者已经拥有个人信息，例如电子邮件地址或其他登录信息，然后利用这些信息进行多次登录尝试。其中包括：

字典攻击：在这里，黑客从预定义的术语词典中查找所有可能的密码。该列表通常包括从网上泄露的安全漏洞中获取的密码、常见密码和术语，以及典型的变换，例如大写的首字母、数字和符号。

凭据填充：根据之前的数据泄露事件，已经有数十亿个用户名和密码对可在暗网上购买。攻击者可以编写基础脚本，在各种网站的所有已知配对中循环。攻击是一种数字游戏，找到任何账户访问权限后都会用来提升攻击。这些类型的密码攻击之所以成功，是因为人们通常会在多个账户中重复使用同一密码。

暴力破解：这实际上是大部分攻击的通称，这些攻击尝试对账户的密码进行多种组合，通常使用自动工具和攻击者拥有的其他数据信息，例如最小密码长度或要求密码包含某些字符。更复杂的暴力强制应用了一种密码分析攻击，例如利用SQL注入获取hash后的密码。然后，一台功能强大的计算机将尝试所有可能的字母、数字和字符组合，以发现散列密码原文是什么。密码越长越复杂，这种暴力攻击所需的时间就越长。

密码喷洒：这是一种暴力攻击，与字典攻击相反，它将密码保持不变，尝试多个不同的用户名以查看是否存在匹配。这主要是为了规避安全措施，比如在多次尝试失败后锁定登录。这类攻击中使用的密码来自世界各地最常用密码的常见列表。

密码攻击类型：盗窃

在这类攻击中，攻击者试图使用各种手段拦截、记录或以其他方式窃取用户密码。这类密码攻击包括：

网络钓鱼：在所有类型的密码攻击中，这是最常用和最有效的一种，有几种不同的密码攻击。基本前提是，用户收到一封看起来值得信赖的电子邮件或带有登录链接的短信。但是，此链接会被定向到攻击者的代理服务器，指向一个的以假乱真的登录页。当用户输入他们的详细信息时，就会被攻击者盗走。通过实时的模拟登录，这种方法还可以用于窃取发送到短信OTP、手机产生的一次性令牌，以规避多因素身份验证。

中间人（MitM）：通过这类型的密码攻击（也包括浏览器中间人攻击），攻击者试图在当信息在双方之间传输时进行拦截。此操作有时可以窃取未加密的用户名、密码或其他个人详细信息。即使被截获的是加密数据也可以用于缩小焦点，减少强行爆破密码所需的时间。

键盘记录器：击键记录是指攻击者将恶意软件上传到记录击键的用户设备上。然后，这些数据被过滤到攻击者那里，尤其与屏幕记录器结合使用时，可以轻松发现账户的凭据配对。现在已经发展到通过摄像头，进行红外、热力感应，来检测用户键盘常见输入，以获取密码。

SIM卡交换：通过这种类型的密码攻击，攻击者利用从其他地方收集的有关受害者的个人信息，通常是声称手机丢失或被盗，利用这些信息说服手机公司将手机号码切换到他们控制的SIM卡上。这意味着攻击者可以使用发送到该电话号码的OTP或账户恢复信息来接管受害者的账户。这是一种出人意料的有效攻击，FBI报告称，在最近的有针对性的攻击中，尤其是针对加密货币持有人的攻击，导致了6000多万美元被盗。

通过消除密码减少风险

密码和其他用户凭据日益成为攻击的焦点，也是导致数据泄露的主要原因。有几种不同类型的密码攻击，坏人用来接管用户账户并实施欺诈或升级他们的攻击。虽然组织可以部署预防措施，但确保防止密码攻击的唯一绝对正确的方法是从身份验证过程中删除密码和其它基于所知的认证机制。

国民认证的无密码多因素身份验证系统围绕身份验证协议提供了最高级别的安全保证，同时还提供了优秀的用户体验。基于密码的攻击是所有安全威胁之最，只有从登录和身份验证过程中完全删除密码，才能确保您的组织免受密码攻击。