密碼無疑是保護賬戶安全的最常用措施之一，隨著互聯網木馬和攻擊的日益猖獗，許多企業的密碼應用卻成為整體安全體系中最薄弱的環節之一。由于密碼是非法攻擊者闖入企業網絡環境的最簡單途徑之一，正面臨著越來越多的攻擊威脅。為了更深入地了解如何保護企業的密碼免受攻擊，我們搜集了以下常見密碼攻擊手段以及應對措施。

1. 暴力破解攻擊

暴力破解是指黑客使用大批常見或泄露的密碼，高強度嘗試訪問網絡時所執行的密碼攻擊。利用當今高性能CPU的算力，連游戲級計算機每秒都可以猜測數十億個密碼。它靠蠻力主動猜測合法用戶賬戶的密碼。

防護措施：賬戶鎖定、密碼長度和密碼短語超過20個字符、阻止增量密碼和常見模式、泄露密碼防護、自定義字典以及多因子身份驗證(MFA)。

2. 字典攻擊

字典攻擊某種意義上屬于暴力破解手段之一，它使用大型的常見密碼數據庫(酷似字典)作為來源。它用于通過輸入字典中的每個單詞以及那些單詞的派生詞，以及以前泄露的密碼或密碼短語，非法訪問受密碼保護的資產。

防護措施：密碼長度/密碼短語超過20個字符、阻止增量密碼/常見模式、泄露密碼防護、自定義字典以及MFA。

3. 密碼噴灑攻擊

密碼噴灑攻擊針對許多不同的賬戶、服務和組織嘗試使用一個或兩個通用密碼，以此避免在單個賬戶上被檢測或鎖定。攻擊者使用這種方法避免超過設定的賬戶鎖定閾值，許多組織經常設置為輸錯三到五次就鎖住賬戶。

只要在鎖定閾值內輸對密碼，攻擊者可以在整個組織成功嘗試多個密碼，不會被活動目錄(Active Directory)中的默認保護機制阻止。攻擊者選擇最終用戶常用的密碼和數學公式來猜測密碼，或使用已在密碼泄露網站上公布的泄露密碼。

防護措施：密碼長度/密碼短語超過20個字符、阻止增量密碼/常見模式、泄露密碼防護、自定義字典以及MFA。

4. 憑證填充

憑證填充是一種自動攻擊，登錄過程中嘗試竊取的用戶名和密碼組合，試圖闖入。憑證可能來自大型數據庫，這些數據庫含有真實的泄露賬戶和密碼，可從網上購得。由于高達2%的成功率，憑證填充攻擊者占到全球許多最大網站的所有登錄流量的90% 以上，引發了大量次生數據泄露事件。

防護措施：阻止增量/常見模式、泄露密碼防護/自定義字典、MFA以及賬戶鎖定。

5. 網絡釣魚

網絡釣魚是一種古老的攻擊，已用了幾十年，然而它依然非常有效。網絡釣魚攻擊旨在引誘人們執行操作或泄露機密信息，常常通過電子郵件來實施。比如說，攻擊者偽裝成合法組織或服務商，誘使用戶泄露賬戶信息。

其他網絡釣魚電子郵件使用“很緊迫的恐嚇手段”，促使用戶迅速泄露信息。電子郵件可能含有“緊急通知：您的賬戶已被闖入”之類的內容。攻擊者利用最終用戶的恐慌情緒，讓誤以為攻擊者在保護信息的用戶泄露信息。在使用個人設備的組織中，網絡犯罪分子可以利用這些網絡釣魚手段，誘騙最終用戶交出公司登錄信息。

防護措施：網絡安全意識培訓、MFA、配置電子郵件banner以及郵件服務器配置(DKIM、SPF 等)。

6. 擊鍵記錄器攻擊

擊鍵記錄器攻擊用于記錄敏感信息，比如輸入的賬戶信息。它可能涉及軟件和硬件。比如說，間諜軟件可以記錄擊鍵內容，以竊取從密碼到信用卡號的各種敏感數據。如果攻擊者能接觸最終用戶的計算機，可以將物理硬件設備連接到鍵盤以記錄輸入的內容。

防護措施：安全意識培訓、最新的惡意軟件防護、惡意URL防護、MFA、阻止未知的USB設備、密碼管理器及加強關鍵業務環境的物理訪問。

7. 社會工程攻擊

社會工程攻擊包括一系列惡意活動，以勸誘人們執行操作或泄露機密信息，包括網絡釣魚、語音釣魚、社交媒體引誘和尾隨。比如說，網絡釣魚攻擊是一種社會工程伎倆，攻擊者誘騙你提供密碼和銀行信息等敏感信息，或者交出計算機或移動設備的控制權。

社會工程攻擊通常企圖利用人性的自然傾向。攻擊者誘騙你提供密碼信息通常比使用其他手段破解密碼要容易得多。

防護措施：加強企業安全意識培訓，應用安全的MFA方法

8. 密碼重置

密碼重置攻擊是也一種經典的社會工程伎倆，用于訪問網絡：呼叫幫助臺，冒充別人，請求新密碼。黑客只需說服幫助臺工作人員為他們提供新密碼，而不是試圖猜測或破解密碼。對于幫助臺員工可能不認識所有員工的大組織來說，這尤其危險。由于員工隊伍轉向混合或完全遠程模式，這種攻擊也變得越來越常見，因為驗證最終用戶不像當面打招呼那么簡單。

防護措施：加強幫助臺的驗證/MFA、開展安全意識培訓、結合MFA的自助式密碼重置(SSPR)。

參考鏈接：https://www.bleepingcomputer.com/news/security/the-top-10-password-attacks-and-how-to-stop-them/