QQ截图20181218142757.png

QQ截图20181218142818.png

近日,美国安全软件公司SplashData公布了2018年百大“最烂密码”排行榜。其中数字组合“123456”连续五年蝉联第一,排名第二的则是“password”(“密码”的英文),在网络账号中使用这些简单的密码无疑是在互联网上裸奔。

密码作为保护用户的数据和资产的方式之一,经常受到很多不法份子的觊觎,一旦用户密码被攻破,其损失是不容小觑的。所以了解破解的方式就能更好的防范账号密码被破解的风险。

接下来就为大家盘点那些密码破解的方式和防范建议:

一、暴力破解

QQ截图20181218142850.png

暴力破解可谓是最直接最古老的破解密码方式了,说白了就是一个个密码慢慢猜。

对于那些常见的密码,或者是密码位数少的密码组合,暴力破解总能收到奇效。

网上的那些暴力破解软件主要是通过常见的密码字典库(那些百大烂密码就是其中之一)中的密码优先进行尝试登陆,然后再调整密码组合一个个登陆,对于搭配高性能硬件的密码机,一秒钟能提交上万种密码组合。

mgkPKTZQGQuI6Tp6S6zg61.jpg

面对暴力破解的风险,现在很多验证服务器上都设置了防暴力破解机制,当用户尝试错误登陆指定次数密码时,会限制登陆的时间间隔或者冻结账户。还有就是加入随机生成的验证码的方式来隔绝大部分破解软件的登陆尝试。

YtBzTZ88nB8Y5K2iEt2ZwI.jpg

但是防暴力破解机制并不是万无一失的,有些安全性不是特别高的网站,依然可以通过后门漏洞绕过防暴力破解机制,直接尝试登陆。不过现在很多社交网站强制要求用户设置更复杂的密码,就这使得暴力破解的时间成本远比收益高得多。

那么,密码要怎样设置才是安全的?

设置长度超过八位数,且有3种以上字符组合的密码。(例如大小写字母加数字)

二、密码撞库


QQ截图20181218143012.png

现在很多密码破解事件,大多不是针对指定的用户来进行的,而是通过密码撞库的方式破解的。随着人们注册的互联网账号越来越多,很多人怕记不住密码,经常把多个网站的账号设置为同样的用户名和密码,这也使得撞库破解成为互联网用户最需要关注的隐患。

密码撞库的意思就是:当A网站的用户密码库泄露后,黑客将A网站的密码库通过脚本软件尝试在B网站上批量登陆,最终匹配出B网站的那些同样用户名和密码的账号。

一般网站用户密码泄露方式:

1、网络漏洞被攻破,密码库被破解。

2、网站内部人员泄露。

3、通过伪造钓鱼网站,收集用户账号密码。

很多黑客选择撞库的目标是很有针对性的,他们通常会选择功能类型相近的网站进行撞库匹配,因为很多同种类型的网站的用户人群也都是重叠的,这也就使得密码撞库成为目前破解密码中影响范围最广的方式。

如何防止密码撞库?

1、不同网站不要使用相同的密码。

2、使用附加验证方式登陆账号,例如在登陆时除了要输入用户名密码,还需要通过手机短信验证的方式登陆。

三、钓鱼网站

QQ截图20181218143032.png

不法分子通过建立山寨网站来冒充成某一机构或者平台的官网,然后通过软件广告、搜索推广等方式将页面推广给用户,一般钓鱼网站都是直接套用官网素材,而且网站域名也和官网很像,一些对网络不熟悉或者没细看的用户,很难发现两者的区别。当用户在钓鱼网站上登陆自己的账户时,账号密码就被钓鱼网站获取。

如何防范钓鱼网站:

1、不要在陌生的软件推送广告中登陆自己的账户。

2、把自己常用的网址加入收藏夹中,平时直接用收藏夹中的网址登陆页面就不怕勿点到钓鱼网站了。

四、传输破解

QQ截图20181218143042.png


传输破解的意思就是:当你在登陆账号时,你输入的账号密码还没到达验证服务器之前,就已经被窃取了。

最常见的传输破解方法:不法份子通过架设无线路由器作为中转,伪装成公共场所的的无线热点来诱使用户通过它来上网,然后网络抓包软件的方式来获取用户登录时输入的明文账号密码。

InSQ8Nn8B889W8PoqsPbW8.jpg

除了热点欺骗,病毒软件监控,也都是在传输过程中窃取账号密码的方式。

对于一些安全性较高的网站,会强制用户安装登录控件,或者使用“https”的传输协议,在登录源头和传输过程中将账号登陆信息进行加密。

防止传输破解的方式:尽量不要连接陌生的wifi热点,不要安装不知名的软件和网络控件。

五、密码库破解

无论是本地软件的密码,又或者是社交网站的密码,最终这些密码都是以数据库的形式存在于验证服务器的存储介质上中,我们把它称为密码库。

在黑客通过系统漏洞或者病毒软件窃取密码库后,接下来就是破解密码库。密码库安不安全,取决于它的加密方式。

无加密的密码库文件一旦被窃取,直接打开就可以看到用户的明文账号密码。

而加密方式通常有:对称加密和HASH。

对称加密是一种简单的加密方式,明文密码通过指定的算法加密成密文密码,反之,密文密码可以通过同种算法还原成明文密码。

也就是说,一旦黑客拥有多组明文密码和密文密码,就可以推算出它的加密算法,很多软件激活码就是这么被破解的。常见的对称加密机制有:3DES、AES等。

AUt7T15jSO3T6l6a6bi13G.jpg

而采用单向HASH加密的方式就无法通过密文密码来逆推明文密码了,例如常见的MD5、SHA1等。

nep4q8OkfKZzYP888RG4x2.jpg

当然还是有些公司不满足单向HASH的安全性,推出了随机盐+多次HASH的方式进行加密,使得破解bcrypt和scrypt算法的可能性无限接近零。

nep4q8OkfKZzYP888RG4x2.jpg

防止密码库破解:使用更安全的加密算法。

以上就是目前常见的密码破解方式,如果你的密码处于这些风险之中,请及时去更新下自己的密码吧!

(此文图片取自网络,如有侵权,联系删除!)