信息化时代,用户密码安全非常重要,由于用户管理不当或黑客的入侵,用户密码外泄经常发生,如何防止密码被破解呢?本文带你一起了解常用密码破解方法,揭开密码破解之谜。
1.人工猜解
两者关系较好或者相互之间较为熟悉,对方的账号往往是公开的,很容易猜解到对方账号所对应的密码(例如密码zx19870708,表示张三的生日)。如果两者相互之间不认识,但可以通过一些渠道或工具收集用户的相关信息,根据这些信息来猜解该用户对应的密码(例如密码wwhcie0910,表示王五于9月10日通过了hcie认证)。人工猜解是有针对性的猜测,一般猜测十几次猜不中就会被攻击者放弃。
2.暴力破解
暴力破解是根据密码字典,利用大量猜测和穷举的方式来尝试获取用户口令的攻击方式,它是最主流的密码破解方式。破解是否成功取决于密码字典中是否包含用户对应的密码,成功破解的时间取决于密码的复杂程度(例如密码123qweasd,键盘上有规律排列的3行按键,多数字典会收集它)。字典文件的质量非常关键,网上可以下载到各种字典文件,kali系统(集成了很多网络渗透攻击工具的linux系统)也内置了一些字典文件(例如/usr/share/wordlist、/usr/share/wfuzz/wordlist、/usr/share/seclists等)。如果将键盘上所有字符进行组合成字典,这将是不一个巨大无比的空间字典,破解效率也会极其低下,它是不现实的。
3.网络入侵
黑客在用户端植入木马程序,通过录制用户屏幕操作(例如Radmin、PC Anywhere等具备这个功能)、记录用户键盘操作(例如键盘记录员108627)来破解出用户账户对应的密码。攻击者甚至利用欺骗性的电子邮件或伪造网站(例如FakeScreenshot可以伪造任何网站)进行诈骗活动,受骗者往往会泄露自己的账户、密码等敏感信息。黑客在局域网中利用嗅探器(例如sniffer)监视网络传输数据、截获网络传输数据包,当用户密码以有明文的方式在网络上传输时就会被黑客轻松地拿到。
4.社工手段
有些用户虽然设置了强密码,但却将密码写在纸上或者存放U盘中某个文件文件中,这些不良习惯很容易被黑客利用。当用户使用多个系统时且用户密码相同时,黑客可通过破解简单系统的用户密码来推算出复杂系统的用户密码。很多著名的黑客并非使用尖端的技术,而是利用密码心理学,细微分析用户的信息和心理,快速破解用户密码。