单独使用密码不能保护用户帐户,但是可以。
仅仅为了使用普通密码而设置普通密码,会让您获得一种伪装的安全性保证。但是,密码通常是可预测的,这使您很容易成为暴力攻击的目标。
暴力攻击试图窃取或解密您的敏感信息,或通过破解用户凭据或加密密钥用恶意软件感染系统。安全解决方案多因素认证(MFA)系统建立了坚实的防御,以保护用户帐户免受暴力攻击。
您可以将MFA作为用户的第一道防线,并通过各种预防措施来丰富它。
什么是蛮力攻击?
暴力破解攻击是一种系统的方法,通过检查用户id和密码的可能组合来渗透到认证系统,并成功登录到web应用程序或操作系统。
暴力攻击不仅限于用户id和密码。一般来说,暴力攻击是指通过一致的试错过程来揭示敏感信息的尝试次数。它们还包括猜测和验证在密码设置过程中创建的可信加密密钥,通常称为详尽的重点研究.
攻击者主要使用暴力攻击来破解密码(即利用设置密码中的漏洞并获得未经授权的访问)。这种类型的网络攻击渗透身份验证机制,允许恶意黑客访问您的IT资产。
暴力破解攻击是一种密码分析攻击,当攻击者找不到他们可以轻易利用的漏洞时,就会使用这种攻击。对于攻击者来说,花大力气利用一个可能不会带来预期好处的漏洞是没有意义的。
在这种情况下,暴力攻击成为攻击者的潜在选择工具,因为暴力攻击更容易执行,如果成功执行,可以带来大量的不道德利益。攻击者使用一组登录id和密码自动进行密码猜测过程,并通过破解身份验证和加密协议获得好处。
短密码在攻击过程中更容易猜到,而且相对更快,但长密码可能会占用大量的时间和计算能力。
为什么黑客要进行暴力攻击?
网络犯罪分子通常通过暴力攻击来揭示您的敏感信息并访问您的系统。攻击背后的意图可能是利用您的信息获取访问权限,并对您的资产或组织进行更大规模的网络攻击。
80%
2020年,黑客造成的数据泄露中有一半涉及暴力或使用丢失或被盗的凭证。
来源:威瑞森
黑客可以通过暴力破解密码或密码短语进行攻击,使您的帐户和网络容易受到数据泄露的攻击。获取第三方的用户凭证也可能是暴力攻击的目标。这些凭证以后可能被用来从受害者的数据中获取不道德的利益,或损害他们的公众声誉。
威胁者可以使用蛮力攻击来进行社会工程通过泄露的用户帐户发送钓鱼电子邮件进行攻击。
黑客什么时候使用暴力攻击?
当恶意黑客有足够的时间攻击目标时,他们通常会采取暴力攻击路线。暴力攻击可能是一个耗时且漫长的过程。它涉及到运行几种可能的密码组合或加密密钥。
随着用户凭证的字符串长度的增加,预期的破解时间也会增加。这是一个缓慢但一帆风顺的过程。只要有足够的时间,攻击者就可以进行暴力攻击,破解基于密码的系统,并在不利用技术漏洞的情况下访问受害者的资产。
蛮力攻击的类型
攻击者可以使用各种技术来收敛暴力攻击。你应该有一个可靠的防御机制来保护自己不受攻击。
简单的暴力攻击
简单的暴力攻击包括攻击者进行逻辑猜测以破解您的身份验证系统。这些不是软件工具的辅助,而是基于他们可能掌握的关于你的详细信息。
例如,检查“name12345”或“name@123”以及其他一些数字和字符密码变体。对于个人识别号码(PIN),攻击者可能会通过您的出生年份或出生年份的倒序查找您或您的家庭相关的类似数字。
混合蛮力攻击
攻击者猜测可能的密码超出了他们的逻辑范围,通过思考常用(或趋势)单词与随机字符的组合来进行混合暴力攻击。它包括检查“marvel2020”或“bitcoin36000”等类似的密码。
它从外部逻辑开始识别潜在的密码,并继续使用一种简单的方法来尝试和测试几种可能的组合。
反向暴力攻击
反向暴力攻击从一个已知的密码开始,并针对多个用户id进行测试。攻击者通常使用在互联网上共享的泄露密码作为垫脚石,寻找匹配的用户id来访问目标的资产。
在反向暴力攻击中,攻击者不是针对特定的用户,而是为特定的密码寻找用户ID。
凭据填料
凭据填充滥用了这样一个事实:许多用户可以在多个系统中拥有相同的用户名和密码。攻击者在不同的网站上使用成对的被破坏的用户名和密码来找到成功的匹配。
攻击者利用凭证填充来接管用户帐户。当他们从数据泄露或密码转储网站获得用户凭据时,他们会将这些凭据与社交媒体平台或在线市场等多个网站进行比对。攻击者可以窃取您的信用卡详细信息、社会安全号码和其他敏感数据,以便在找到成功匹配的对象后进行新的恶意活动。
字典攻击
字典攻击要求攻击者使用普通单词(就像它们在字典中一样)搭配典型的数字序列或特殊字符来破解密码。攻击者可能使用标准字典或为恶意目的而设计的唯一字典。例如,他们可能会检查蒸汽、钢铁、陡峭等密码。
字典攻击通常会成功,因为用户有在密码中使用日常词汇的固有倾向。
彩虹表攻击
彩虹表是一个预先计算的密码字典及其哈希值。在系统中,密码不是以纯文本形式存储,而是使用加密进行散列。当用户输入密码时,它将转换为相应的哈希值,并使用存储的哈希进行验证。如果匹配,用户就可以访问他们的帐户。
攻击者利用彩虹哈希表在彩虹表攻击中破解密码。由于多个文本可以具有相同的哈希值,只要攻击者可以使用哈希进行身份验证,就不需要知道实际的密码。
虽然彩虹表攻击需要足够的准备时间,但实际攻击要快得多,因为算法交易增加了空间使用,减少了时间。
暴力攻击示例
暴力攻击的最终目标是窃取数据或中断服务交付。因此,这些攻击已经成为对组织安全态势的重大威胁。
近代史上一些著名的暴力攻击例子有:
- 在2013年,GitHub成为暴力攻击的受害者,其中几个安全存储的密码被泄露。经确认,暴力登录尝试来自大约40000个唯一的IP地址。
- 任天堂俱乐部在2013年受到暴力攻击,影响了2.5万名论坛成员。攻击者进行了1500万次暴力破解用户账户的尝试。
- 阿里巴巴的淘宝,在2016年,遭受暴力攻击,2100万用户账户被泄露。攻击者使用一个包含近9900万用户名和密码的数据库,对现有的淘宝用户账户进行暴力破解。
- Mozilla Firefox的2018年,主密码功能成为暴力攻击的受害者。暴露的用户凭证的数量是未知的。2019年,Firefox推出了解决此问题的修复程序。
- 在2018年,线上购物遭到暴力攻击,破坏了近1000个管理面板。
暴力攻击工具
暴力攻击是在自动工具的帮助下进行的,这些工具会检查用户凭据,直到找到成功的匹配。由于有许多可能的用户名和密码,手动测试变得很棘手。因此,攻击者利用自动化来加快这种情况下的猜测过程。
以下是一些著名的暴力攻击工具的例子*:
- THC九头蛇通过对30多个协议(HTTP、FTP、HTTPS等)执行字典攻击来破解网络认证。
- Aircrack-ng在WEP/WPA/WPA2-PSK破解器和分析工具的帮助下,对Wi-Fi 802.11进行暴力破解,用于破解Wi-Fi密码。
- 开膛手约翰用于破解弱密码和渗透基于密码的系统。它支持Unix、Windows、DOS等15个平台。
- 彩虹裂纹生成彩虹表来执行蛮力攻击,并帮助减少攻击的时间跨度。
- L0phtCrack使用字典攻击、混合攻击和彩虹表来破解Windows密码。
*这些工具只能用于道德目的,以测试和加强系统对抗暴力攻击。
如何检测暴力攻击
攻击者可以使用多种形式进行蛮力攻击。你需要制定预防措施,并强制执行,以保护自己免受此类攻击。
以下是可能是暴力攻击的一些迹象:
- 从一个IP地址多次登录失败
- 来自多个IP地址的单个用户帐户的登录请求
- 使用同一个IP地址的多个用户名登录
- 使用某人的邮件或IRC客户端的引用URL登录
- 一次性使用的可疑使用和带宽消耗
- 使用字母或顺序用户名或密码尝试登录失败
- 指向密码共享网站的URL
通过早期检测和适当的预防措施,组织可以减少遭受暴力攻击的风险。
如何防止暴力攻击
蛮力攻击是在试错的基础上工作的,没有技术漏洞会成为目标。因此,您需要遵循安全最佳实践来保护您的资产免受暴力攻击,而不是仅仅加强您的防御机制。
强制使用强而独特的密码
创建不可预测且独特的强密码可以有效防御暴力攻击。例如,与密码中父母的姓名和出生年份相比,一个冗长而复杂的密码将很难猜到。
确保多个用户帐户有不同的密码。对所有帐户使用类似的用户凭据使攻击者很容易利用并从所有帐户提取敏感信息。
锁定用户帐户
用户帐户中一系列失败的登录尝试可能表明可能存在暴力攻击。您可以在指定的锁定时间内锁定用户,也可以通过管理员的权限解除锁定。
帐户锁定必须以受控的方式执行。当暴力攻击大规模进行时,它们很容易导致拒绝服务。在这种情况下,逐步延迟锁定帐户是合适的解决方案,即对于每一组失败的登录尝试,帐户锁定的时间跨度逐步增加。
你需要注意锁定账户可能是一个不太有效的选择的情况:
- 缓慢的暴力攻击,在固定的时间跨度内只进行几次登录尝试。
- 反向暴力攻击,其中一个密码与多个用户名进行检查。
- 多个账户被锁定,导致IT帮助台的支持需求上升,并利用它来转移注意力,进行更大的网络攻击。
帐户锁定适用于风险高于拒绝服务的地方。企业可以使用入侵检测和防御系统设置自定义规则,对IP地址进行有控制的锁定。
采用双因素身份验证(2FA)
双因素身份验证被广泛用作抵御蛮力攻击的第一道防线。它要求用户两次证明自己的身份,即使攻击者成功匹配了密码,也降低了安全漏洞的风险。
大多数黑客(除了少数坚持不懈的黑客)会让位,寻找更容易的目标。但你应该确保其他账户(电子邮件、安全软件等)有不同的用户凭据,以防止黑客获得访问权限并通过2FA。
监控服务器日志
仔细分析所有服务器日志,因为它们是识别各种暴力攻击模式的重要数据源。通过这些日志,您可以洞察未来的防御策略,确保帐户或网络的安全。
安全信息和事件管理(SIEM)系统作为一个优秀的解决方案,集中存储,监控和分析所有日志。在账户泄露的情况下,SIEM系统将帮助您收集数字取证,以启动事件响应计划。
使用验证码
CAPTCHA的工作原理是测试用户通过一个对计算机来说很难的简单挑战。例如,让用户数图像中黄色钢笔的数量是很容易的。不过,对于机器来说,如何解读图像仍然是一个难题。
尽管CAPTCHA增加了用户访问用户帐户的步骤数,但它对确保帐户安全非常有益。它可能会动摇用户的体验,但它通过保护敏感信息免受自动暴力攻击和机器人的攻击,增强了用户的信任。
加大预防力度
采用最佳的预防技术并构建所需的安全技术堆栈,以保护您的系统免受暴力攻击并维护网络安全。
如果攻击者在执行了预防措施后仍设法穿透身份验证系统,请启动您的事件响应计划控制和限制它们可能造成的损害。
