近年来,随着数据的重要性的逐步提高,以及各种工具技术的产品化,利用先进的攻击手段长期、有计划性和组织性地对特定目标进行窃取数据的行为越来越泛滥。
近期,一种称为“密码喷洒”的攻击手段逐步被广泛使用,它是指利用单个常用或精心构造的密码对多个账户进行登录尝试,然后如次往复,直至成功获取账号密码。
密码喷洒的攻击手段可以分为以下步骤
步骤一
黑客组织需要构建一个账号集。一般而言,可以通过网络在该组织的各类公开信息中寻找蛛丝马迹,获取这个组织的各类账号的信息。甚至有的时候无需获取实际的账号,可以通过已知的账号中明确存在某种规律来进行生成账号。
步骤二
接下来,黑客组织可以进行构造一个密码集。密码集中包含的首先是弱密码,即容易破译的密码,多为简单的数字组合、帐号相同的数字组合、键盘上的临近键或常见姓名,甚至于初始密码等等。
此外,“机构名”+“电话号码”等密码看似复杂,但也很容易被列入黑客构造的密码集中。
步骤三
这个时候,黑客组织已经集齐账号集和密码集,下一步就可以正式开展“密码喷洒”的攻击了。
黑客组织可以使用专用的工具,使用第一个密码,逐一对所有的账号进行登录尝试,在失败之后,再换第二个密码,如此反复。实际上,在第一个尝试成功的账号成功起,“密码喷洒”的攻击已经完成了,而黑客组织窃取信息的动作才刚刚开始。
步骤四
下一步,黑客会通过获取的账号密码潜伏下来,化身一个数据“间谍”,不断进行侦察、数据窃取和渗透,直至获取想要的信息。很多被侵入的系统往往难以及时察觉,往往需要在被潜伏数月后能发现。
“密码喷洒”之所以屡屡奏效,从技术的角度而言,是由于目前的密码锁定策略,往往是对短期内多次尝试登录失败的账号进行锁定,而“密码喷洒”对单个账户而言,登录尝试间隔较长,因此能够有效规避一般的账户锁定策略。
了解完“密码喷洒”的套路后,我们又能做哪些防范呢?
对于系统维护和安全部门而言
一是要进一步强化账号登录检测,加强对整体登录失败率明显上升、存在大量错误的用户名等现象的审查力度,对可能被攻击成功的账号进行密码重置。
二是要进一步严格执行合理的密码安全策略,制定完善弱密码杜绝、密码定期更换、密码锁定以及多因素身份验证机制等安全策略。
三是要加强全体用户的密码安全培训,全面杜绝使用弱密码等行为,全面提高用户的安全防范意识,确保堵塞漏洞。
对于用户个人而言
最简单的方法,无非就是修改自己目前还在使用的弱密码和单位+电话等看似复杂容易被猜测出来的密码。此外,开启多因素身份验证机制等选项,也能够很好提高自己的账号的安全性。
由此可见,弱密码百害而无一利,为了防止黑客对你的弱密码下手,密仔在这里提醒大家,做到保密防谍,及时更改弱密码,设置长度大于8位的高强度密码。
同时,切忌“一套密码走天下”,妥善保管好自己的密码,不对外泄露,别让数据“间谍”有机可乘!