@IT·互联网

除了病毒,黑客还有什么攻击方式?

2016-11-29  本文已影响233人  耗子吴

说到黑客攻击,大多数人就会想到计算机病毒,编写病毒需要极高的技术,实际上,有很多攻击方式非常简单粗暴,甚至常人都可以操作。

多数的网络攻击中,黑客要盗取用户的账号和密码,小到游戏账号,大到总统选举候选人的邮箱,下面说说几种常见的方法

1. 密码字典

在网络上哪些密码被最多的人使用?答案见下方的表格

数据来自信息安保公司 SplashData 发表的 2015年度“最弱密码”报告

大量的用户为了方便省事,使用了诸如 123456、qwerty 这样的弱密码,黑客通过网页抓取等渠道获取用户名以后,通过程序将以上的密码模拟提交。假如黑客拿到了 100 万个账号用户名,通过以上的密码去请求,即使成功率只有 3%,黑客也能成功盗取这 3 万个账号进行非法交易。

除了上面的弱密码字典外,有人还总结了一些常见的密码规律,比如很多人会以姓名拼音加生日的规则作为自己的密码,那么黑客在尝试密码时,会尝试姓名加生日的组合,又大大提高了成功的概率。

很多网站意识到这个问题,当用户设置此种类型的弱密码时,会友好提示,引导用户设置更复杂的密码。当密码重试次数过多时,网站会要求用户输验证码或进行账号的锁定,这些措施都是为了保障用户账号安全。

弱密码提示

2. 撞库

2011 年 12 月,CSDN 的安全系统遭到黑客攻击,600 万用户的登录名、密码及邮箱遭到泄漏。随后,天涯、世纪佳缘等网站相继被曝用户数据遭泄密。很多人以为,密码遭泄密后网站及时发出公告,提示用户更新密码就可以免遭损失,实际情况并非如此。

为了减少记忆负担,很多人在设置密码时常常使用相同的密码,表面上用户泄露的是 CSDN 的密码,实际该用户的 QQ 密码、邮箱密码用的极有可能是同一个,黑客拿到被泄露的密码数据后,以相同的密码去登录该用户的邮箱,登录邮箱后又可以通过邮箱重设其他各种平台的密码,即使只有 1% 的人邮箱和 CSDN 是同一个密码,那么也会有 60 万的邮箱遭破解。

3. 钓鱼

前面介绍的两种破解方式属于非定向的攻击,因为黑客也不知道哪些账号会被破解成功,而网络钓鱼则可以用于定向攻击,获取指定账号的密码。

最常见的例子就是黑客�盗取指定用户 Apple 账号。小偷偷到 iPhone 后,因为无法破解锁屏密码,手机无法再销售,于是就有专门的团队,向手机所有者邮箱发送邮件,邮件内容会仿冒苹果的官方邮件,让你以为这是苹果官方发过来的重置密码的邮件,如果你点击链接,输入账号密码,那么密码马上就会落入盗窃者手中,用你的密码解锁后,你丢失的 iPhone 又可以销售了

注意发件人邮箱

注意下面图片中的 URL 地址,实际是钓鱼网站地址,并不是苹果官方网址。

4. 社会工程学

社会工程学�攻击通常以假冒、交谈、欺骗等方式,骗取用户账号或其他信息。电信诈骗也属于社会工程系的范畴。一些诈骗之所以成功率高,主要原因在于诈骗团伙事先通过各种渠道获取了诈骗对象的个人信息,更容易取得对方信任。

很多网站可以通过身份证号、密保问题来重设密码,黑客通过各种渠道收集个人信息后,便可以通过这种方式盗取账号

QQ 的找回密码

5. 代码库配置文件

一些工程师将自己的一些项目源码托管在 Github 上时,常常会把系统的配置文件也提交上去,配置文件中通常含有数据库的用户名、密码、初始管理员的用户名、密码,由于源码是公开的,当�有人发现时,系统的安全性也无从谈起。

Github 上搜索到的初始用户名密码

如何提高密码安全性?

作为普通用户,如何提升自己账号的安全性呢?下面介绍几种方法

1. 密码分级设置

为了提高安全性,大可不必每个网站都设置不同的密码,我建议将密码分为三级:

  1. 金钱相关,如网银、支付宝等账号
    这类账号安全性要求最高,建议使用复杂密码,最好有大小写字母和特殊符号组合,千万不要使用姓名拼音、生日组合,这样的密码很容易猜到或被字典命中。
  2. 重要邮箱、通讯工具
    通过邮箱可以找回其他网站的密码,所以常用邮箱的密码也非常重要,QQ、微信涉及各种联系人,也需谨慎对待,它们都需要安全性较高的密码,这部分的密码不要和第一类密码相同。
  3. 一般论坛、游戏账号
    相对而言普通论坛、游戏账号的密码就没那么重要了,可以设置相对简单好记的密码,但不要包含个人信息。有人调侃说 CSDN 中密码为 123456 的用户是注重安全的用户,因为这个账号丢失,几乎不会影响到任何其他账号。

2. 重要账号开启两步验证

两步式验证是一种附加的安全方式,其他人即便知道您的密码,也无法登录。常见的两步验证方式除了密码以外,还会要求用户以其他方式再次验证用户身份,主要形式有:

  1. 短信验证码
  2. 已登录的手机客户端扫描二维码
  3. �第一次开启两步验证时生成的安全码
  4. 已登录的其他设备授权
  5. 专门 APP 生成的动态密码,如Google 身份验证器、小米安全令牌
Apple ID 的两步验证

你可能以为开启两步验证会让登录过程变得繁琐,实际上,可以设置为换新的设备登录时才需要验证,一旦验证过,之后的登录只使用密码即可登录。

Apple �ID 的两步验证在账号中心开启,Google、印象笔记、QQ 、小米账号等服务都有两步验证的设置。

3. 使用密码管理软件

如果你觉得这么多网站、�APP 的账号密码管理太麻烦,可以尝试使用密码管理软件,如 LastPass1Password。注册一个新的网站或 APP 账号时,密码管理软件可以为你生成一个高强度的密码,也可以将已注册的账号密码录入到密码管理软件中,需要登录时,密码管理软件会为你自动填充。

密码管理软件如何保证自己的安全性呢?首先它们会用各种加密技术存储你的密码,其次要选择知名大厂的密码管理软件,安全性更有保障。在使用软件之前,你需要设置一个 Master Password,当需要录入密码时,无论是哪个网站或 APP,输入这个 Master Password 即可,在支持指纹的 iOS 设备上,只需要进行指纹验证,大大简化输入密码的工作。

4. �提高安全意识,警惕钓鱼网站和钓鱼邮件

点击别人发给你的链接时,一定要注意 URL 是否为官方网址,腾讯的地址一定 qq.com 结尾,微博一定是 weibo.com ,Apple ID 一定是 apple.com,主域名部分有任何一个字母不同,都要警惕。


通过以上方式管理自己的密码,远离盗号,谨防受骗。

上一篇下一篇

猜你喜欢

热点阅读