暴力攻击
何谓暴力攻击
暴力攻击是通过试误法以破解凭證,反覆试验所有可能的组合,直至猜到正确密码。由於攻击者需要测试的组合数量取决於密码的长度和複杂性,因此攻击者通常会使用自动化工具和程式进行攻击。暴力攻击现时主要由殭屍装置进行。
成功破解密码後,攻击者可以进入系统并进行其他恶意活动,例如消耗系统资源;收集个人和敏感资料以作贩售之用;伪装成合法用户并发起仿冒诈骗攻击;传播恶意软件以感染更多系统等。
暴力攻击的类型
简易暴力攻击
简易暴力攻击是指猜测所有可能的密码。这种攻击方法对弱密码如「123456」、「111111」、「abcdef」等有效。一些常见而且较弱的密码会定期发布 ,此类密码很容易被暴力攻击破解。
简易暴力攻击是指猜测所有可能的密码。这种攻击方法对弱密码如「123456」、「111111」、「abcdef」等有效。一些常见而且较弱的密码会定期发布 ,此类密码很容易被暴力攻击破解。
字典攻击
字典攻击试图通过使用字典中的单字和辞彙的组合来猜测密码。由於字典中的单词组合量很大,手动发起字典攻击并不可行。攻击者通常会使用工具来加快过程。目前一些工具已有「l」和「1」、「O」和「0」、「a」和「@」等互换类似字符的功能,提高了破解密码的成功率。
字典攻击试图通过使用字典中的单字和辞彙的组合来猜测密码。由於字典中的单词组合量很大,手动发起字典攻击并不可行。攻击者通常会使用工具来加快过程。目前一些工具已有「l」和「1」、「O」和「0」、「a」和「@」等互换类似字符的功能,提高了破解密码的成功率。
混合暴力攻击
混合暴力攻击结合了简易暴力攻击和字典攻击。攻击者可基於字典中的单字或辞彙,增加类似简易暴力攻击的模式,以加强破解能力。一个常见的组合是添加数字,用户一般倾向在密码最後添加数字,这些数字通常是有意义的,例如出生日期、出生年份或週年纪念日,即「password1990」或「picture0531」。攻击者还可以通过添加一些流行事物的字词来增强其字典的辞彙,这些字词可随时间或地区而有所不同,例如城市、运动团队、偶像等。
混合暴力攻击结合了简易暴力攻击和字典攻击。攻击者可基於字典中的单字或辞彙,增加类似简易暴力攻击的模式,以加强破解能力。一个常见的组合是添加数字,用户一般倾向在密码最後添加数字,这些数字通常是有意义的,例如出生日期、出生年份或週年纪念日,即「password1990」或「picture0531」。攻击者还可以通过添加一些流行事物的字词来增强其字典的辞彙,这些字词可随时间或地区而有所不同,例如城市、运动团队、偶像等。
逆向暴力攻击
逆向暴力攻击是利用已知的密码,配以不同的用户名称以尝试破解。已知的密码一般是用户常用的密码或因数据泄漏而外泄的密码。
逆向暴力攻击是利用已知的密码,配以不同的用户名称以尝试破解。已知的密码一般是用户常用的密码或因数据泄漏而外泄的密码。
凭證填充
攻击者会使用因数据泄漏而取得的用户名称及密码组合,尝试登入其他系统。凭證填充是针对在多项系统和服务中重複使用相同用户名称和密码的用户。
攻击者会使用因数据泄漏而取得的用户名称及密码组合,尝试登入其他系统。凭證填充是针对在多项系统和服务中重複使用相同用户名称和密码的用户。
暴力攻击的潜在影响
暴力攻击通常只是攻击者未获授权接达目标系统的第一步,攻击者可以进行其他後续的恶意行动,以下是一些可能会对受害者造成的影响:
攻击者可以将从暴力攻击中收集到的登录凭證及/或个人和敏感资料转售予第叁方;
攻击者可以耗尽系统的资源以达到恶意目的,例如加密货币挖矿;
如果特权帐户被破解盗用,可能会导致网页窜改、服务受阻断、资料泄漏等,从而令机构蒙受财政损失,甚至声誉受损;以及
暴力攻击也可以是发现系统漏洞的一种方法,攻击者可以进一步渗透系统并导致数据外泄。
如何识别暴力攻击
对用户而言:
如果服务供应商经电子邮件或短讯通知你,侦测到有人尝试登入你的帐户,但你无法识别该次登入的位置或时间,这可能表示有人正试图对你的帐户进行暴力攻击,你应立即更改你的登入凭證,或如有多重认證服务时,应启用服务。
对系统管理员而言:
为了及时收到有关暴力攻击的通知,应监察系统有否以下情况,因为可能是警报信号:
短时间内多次登入失败;
来自同一 IP 地址,但使用不同用户名称的登入尝试;
来自不同 IP 地址,但使用同一用户名称的登入尝试;和
使用字母或数字顺序模式尝试登入但不成功。
如何防範暴力攻击
对用户而言:
使用强密码
一个简单但有效防範暴力攻击的方法是设定强密码,密码越长越複杂就越强,一个由大小楷字母、数字和符号组合所组成的长密码会增加暴力攻击的难度。此外,密码应避免使用字典单字,亦不应包含出生日期、出生地点和姓名等个人资料。
一个简单但有效防範暴力攻击的方法是设定强密码,密码越长越複杂就越强,一个由大小楷字母、数字和符号组合所组成的长密码会增加暴力攻击的难度。此外,密码应避免使用字典单字,亦不应包含出生日期、出生地点和姓名等个人资料。
不要重複使用密码
为不同的服务设定不同的密码是一项良好守则。万一你的密码不幸外泄,至少你的其他帐户可免受凭證填充攻击。
为不同的服务设定不同的密码是一项良好守则。万一你的密码不幸外泄,至少你的其他帐户可免受凭證填充攻击。
采用多重认證
多重认證可为你的帐户提供额外防护。除密码外,常用的认證方法包括一次性密码、权标和生物识别(如指纹或人脸识别)。即使攻击者成功以暴力破解了你的密码,攻击者仍然无法通过其他身份验證方法进入系统。
多重认證可为你的帐户提供额外防护。除密码外,常用的认證方法包括一次性密码、权标和生物识别(如指纹或人脸识别)。即使攻击者成功以暴力破解了你的密码,攻击者仍然无法通过其他身份验證方法进入系统。
对系统管理员而言:
允许有限的密码尝试
当登入失败达到一定次数後,应锁定帐户以防止无限次的尝试。系统管理员应与用户进行适当的身份验證,然後方可为帐户解锁。如果在某些系统中锁定帐户并不可行,则应考虑并采取缓解措施,例如在多次登入失败後引入锁定计时器,至少可以延迟暴力攻击。
当登入失败达到一定次数後,应锁定帐户以防止无限次的尝试。系统管理员应与用户进行适当的身份验證,然後方可为帐户解锁。如果在某些系统中锁定帐户并不可行,则应考虑并采取缓解措施,例如在多次登入失败後引入锁定计时器,至少可以延迟暴力攻击。
使用验證码
验證码的原理是要求用户登入时进行只有人类才能进行的操作,例如识别扭曲的字母和数字、识别图像中的物件、剔选複选框等。在登入系统中嵌入验證码可以区分人类用户和自动机械人,从而消除使用殭屍装置发起暴力攻击的问题。
验證码的原理是要求用户登入时进行只有人类才能进行的操作,例如识别扭曲的字母和数字、识别图像中的物件、剔选複选框等。在登入系统中嵌入验證码可以区分人类用户和自动机械人,从而消除使用殭屍装置发起暴力攻击的问题。
限制从指定範围的 IP 地址登入
仅限指定範围内的 IP 地址登入系统,可以防止不需要的 IP 地址进入系统。
仅限指定範围内的 IP 地址登入系统,可以防止不需要的 IP 地址进入系统。
分配独有的登入 URL
为每个或每组用户提供不同的登入 URL,可以延迟暴力攻击的速度,从而增加攻击者的成本。
为每个或每组用户提供不同的登入 URL,可以延迟暴力攻击的速度,从而增加攻击者的成本。
在伺服器上储存加盐密码杂凑
加盐杂凑是指对密码进行杂凑之前,在输入的密码中添加随机字符。当用户使用一些常用或相同的密码时,杂凑结果亦会有所不同,即使你的数据库意外地被入侵,用户的密码亦不会即时外泄。
加盐杂凑是指对密码进行杂凑之前,在输入的密码中添加随机字符。当用户使用一些常用或相同的密码时,杂凑结果亦会有所不同,即使你的数据库意外地被入侵,用户的密码亦不会即时外泄。
查看系统记录
查看伺服器记录以监察任何异常登入尝试十分重要,有助及早发现暴力攻击活动。
查看伺服器记录以监察任何异常登入尝试十分重要,有助及早发现暴力攻击活动。
及时删除 / 撤销用户帐户
应按照最小权限原则授予帐户权限。当用户的职责有变更或终止时,应调整存取权限或撤销帐户。无人管理的帐户和存取权限配置错误的帐户是系统中的漏洞,会导致资料外泄。
应按照最小权限原则授予帐户权限。当用户的职责有变更或终止时,应调整存取权限或撤销帐户。无人管理的帐户和存取权限配置错误的帐户是系统中的漏洞,会导致资料外泄。
对用户帐户定期进行审查
定期审查用户帐户列表有助识别不受管理帐户,尤其是高权限帐户,这些帐户是系统中的漏洞。
定期审查用户帐户列表有助识别不受管理帐户,尤其是高权限帐户,这些帐户是系统中的漏洞。
加强员工意识培训
人是网络安全中最薄弱的一环,因此让员工了解暴力攻击的风险和设置强密码的重要性至关重要。机构亦可考虑制定安全政策,并为员工提供适当的指引。
人是网络安全中最薄弱的一环,因此让员工了解暴力攻击的风险和设置强密码的重要性至关重要。机构亦可考虑制定安全政策,并为员工提供适当的指引。
延伸阅读
香港网络安全事故协调中心 - 个人网络服务帐号管理保安指引
The Open Web Application Security Project - Brute Force Attack (只提供英文版)
The Open Web Application Security Project - Blocking Brute Force Attacks (只提供英文版)
免责声明:用户亦应留意网络安全资讯站中的免责声明。在下载及使用保安软件或工具前,请细阅相关的用户协议和私隐政策。