大多数人都知道良好的上网安全习惯,但往往却不能执行到位,使自身面临字典式攻击的风险。此外,尽管明知应当保护在线账户的安全,仍有许多人没有遵循最基本的安全准则,例如创建强密码。事实上,Google 的一项研究发现,估计有 65% 的人将同样的密码用在多个账户上。除此之外,59% 的人用容易猜到或发现的个人信息来创建密码,比如宠物名字和生日。
此外,人们还经常使用简单、明显的密码,很容易被破解。研究表明,像“123456”和“qwerty”这样的连续按键,以及“Password”、“iloveyou”和“Welcome”这样的短语都是最常用的密码,也非常容易造成数据泄露。
这意味着,这些攻击极为常见,而且非常成功,这仅仅因为人们没有重视对字典式攻击的防范。
字典式攻击采用最简单的形式,属于一种暴力破解攻击,黑客试图通过快速遍历一个包含常用字词、短语和数字组合的列表来猜测用户的在线账户密码。字典式攻击成功破解密码后,黑客可以利用该密码访问银行账户、社交媒体上的个人资料,甚至是受密码保护的文件等等。这对受攻击的用户来说,就是一个实实在在的问题了。
这类黑客攻击采用系统化方法来破解密码。成功实施这类黑客攻击基本上有三个步骤,而了解这些步骤有助于学习如何防范字典式攻击。
在整理潜在密码列表时,攻击者通常会使用常见的宠物名字、可识别的流行文化角色或主流运动队和运动员等等。这是因为很多人使用这类字词来创建对他们有意义并且容易记住的密码。该列表通常包括这些字词的变体,例如不同的字词组合或添加特殊字符。
使用自动化工具运行此列表也让字典式攻击更容易成功。结合使用密码列表和自动化工具,可以更快地尝试破解密码并入侵在线账户。如果手动操作,攻击会花费太长时间,使得账户所有者或系统管理员有时间发现异常并针对攻击采取防御措施。
由于运作方式,这些字典式攻击通常不会锁定单个目标。相反,字典攻击的目的是希望列表中的某个密码是正确密码。然而,如果攻击者锁定了某个特定的地方或组织,他们会创建一个针对性更强、更为本地化的字词列表。例如,如果他们打算在西班牙实施攻击,可能会使用常见的西班牙语单词而不是英语单词。或者,如果他们针对的是某个特定的组织,他们可能会使用与该公司相关的字词。
尽管字典式攻击是一种暴力破解攻击,但两者之间存在重要区别。字典式攻击使用预设的字词列表来系统地尝试破解账户密码,而暴力破解不使用列表,而是尝试所有可能被用于创建密码的字母、符号和数字的随机组合。因此,字典式攻击通常更有效,成功的几率也更高,仅仅因为它们需要尝试的组合要少得多。
26 个英文字母,加上 10 个个位数字,总共有 36 个字符,可能的组合数量众多,暴力破解攻击要想成功,几乎是不切实际的。也就是说,暴力破解攻击要想破解一个包含 10 个字符的密码,就需要尝试 3.76 百万的四次方个潜在字母数字混合密码。
然而,暴力破解攻击的优势在于更有可能通过反复试错方法破解出较难攻破的唯一密码。由于这类攻击遍历了如此全面的潜在密码列表,最终更有可能找到任何给定密码的正确字符组合。
要防范字典式攻击,首先要了解什么是字典式攻击以及它们是如何运作的。要想加强对字典式攻击的防范,可以参考如下建议:
密码管理器可以用于安全地管理您的账户凭证,并将受到字典式攻击的可能性降至最低。像 Kaspersky Password Manager 这样的应用程序有助于保护密码的安全,具有很多益处。以下是考虑使用密码管理器的一些原因:
字典式攻击是一种很常见的网络犯罪,黑客利用这种攻击手段来访问个人账户,包括银行账户、社交媒体上的个人资料和电子邮件。一旦获得这些访问权限,黑客可进一步实施各种行动,比如金融欺诈、发布恶意的社交媒体帖子以及网络钓鱼等网络犯罪。然而,只要采取一定的保护措施就可以有效防范字典式攻击,将遭遇这类攻击的风险降至最低。例如,遵循智能密码管理习惯、采用不同类型的身份验证,以及使用现成的密码管理器,都有助于确保密码和账户的安全。
2021 年,Kaspersky Endpoint Security 荣获企业端点安全产品最佳性能、最佳保护和最佳可用性等三项 AV-TEST 奖项。在所有测试中,Kaspersky Endpoint Security 都展现出一流的性能、保护能力和可用性,能够为企业提供强大保护。
相关的文章和链接:
相关产品和服务: