当前位置:   article > 正文

信息安全意识-密码安全_常见的密码攻击安全事件频发

常见的密码攻击安全事件频发

密码安全,顾名思义,它指的是对于我们密码的安全。

密码是我们生活中最常见的进行身份验证的一个因素,一般我们在登录系统或者是其他应用程序的时候,最先需要利用用户名和密码来验证我们的身份,这称为单因素身份验证。除了密码之外,我们还可以再进一步利用数字令牌、利用生物特征,比如虹膜扫描,视网膜扫描等来对你进行身份验证,但密码永远是最常见的身份验证的第一个因素。密码作为最基本的一个身份验证的因素,如果没有被保护好,或者被别人猜测到,而网站又没有做到足够的防护,没有检测或者其他加固的安全性措施的话,那么你的系统就完全暴露在攻击者面前,再也没有任何秘密可言。

P1常见密码攻击手段及其危害分析

针对密码攻击的危害,以保险场景为例,保险公司的一个普通客户,突然某一天接到一个谎称是保险公司的客服电话,声称保单查询系统正在升级,需要提供登录保单查询系统的用户名和密码将系统升级。如果没有足够的安全防范的意识,透露了你的用户名和密码信息,那么对方可以通过一系列社会工程学攻击的手段,查询并修改你的信息,甚至是改动账户资金分配。

如果你的密码恰好是你最常用的一个密码,骗子将有可能用你的密码去撞库,接下来你会收到源源不断的外部保险推销的电话和异常登录的短信提示,造成严重的信息泄露。

再假设另外一个场景,比如保险公司有一个积分系统平台,客户可以利用自己的保费去换取积分,并在积分商城兑换相应的礼品。这个积分平台首先会对注册用户开放,如果他的密码设为最常见的123456这样的弱密码,积分平台被黑客仿冒登录后,把用户的积分去兑换为价值不菲的商品,并且邮寄到黑客指定的地址,造成了客户的损失。另外一方面对公司而言,客户会严重怀疑是保险公司系统有漏洞,导致了个人信息的泄露,会造成退保、投诉等业务损失。

所以由此看来,我们密码的各种各样的问题,会造成客户损失、客户投诉、业务损失和监管处罚。这样的事情其实在我们生活中每天都在发生,最终受影响的都是公司的业务。

常见密码攻击手段

1.暴力破解

暴力破解是指把所有的数字、字母、包括特殊字符等等进行排列组合,把所有的组合尝试一遍来猜测这是不是用户正在使用的密码。虽然看起来比较笨拙,但是却是最有效的密码攻击的手段。

2.字典攻击

字典攻击比暴力破解稍微智能一点,根据受害人的个人信息,比如昵称、别名、名字、生日邮箱等等,生成一个可能使用的密码的字典。字典跑完,攻击也就随之结束,所以字典攻击的效果取决于这个字典的精准程度。

3.密码猜测

通过猜测常用的简单密码尝试登录账户,譬如123456或者生日等等。在这个过程中,你登陆失败的痕迹也会记录在审计日志里面。

4.彩虹表攻击 哈希称为HASH,是用来保证数据完整性的一种手段,本质是一个数学函数,能够将不定长的字段经过哈希函数的运算都转换为固定长度的字段。 比如abc,或者ABC123,经过哈希之后,它会生成一段乱码,而看不到明文。 但哈希函数有一个不可逆的特性,就算能够得到它的哈希值,也无法逆推出原来的明文的那个值。 但黑客去对很多得明文去做哈希的运算,记录在一个表格里面,这个表就叫做彩虹表。 将来黑客去对一个公司的数据库进行偷库,他看到数据库里面的一个密码字段,他可以到彩虹表里面去找对应的明文值,那么这就叫做彩虹表攻击。 它特征就是提前生成散列,那么当发现散列值的时候,用散列值比对出明文密码,这也是一种密码攻击的手段。

5.社会工程学攻击手段

社会工程学攻击手段本身是不依赖于任何的技术手段。 但如果利用人性的一系列的心理学的一些弱点,再结合一些技术手段,比如说结合一些矿产脚本攻击漏洞,结合调邮件等等的技术手段,它能发挥最大的一个攻击的效率。 常见的通过社会工程学攻击去获得密码的方式有哪些?像电话客服套取用户密码,肩窥、垃圾搜寻等方式去获取密码并尝试登录你的系统,能成功地进入公司的内网。

6.间谍软件

一种恶意软件,常伴随着我们的木马安装,一旦电脑感染了木马恶意程序,就可以偷窥电脑里面传输的所有的机密的信息,包括你的密码等等。

7.窃听攻击

一些内网嗅探工具,例如sniffer,可以用来抓取流量包,如果这个包里面的传输的协议使用的是ftp或者http这些明文协议,那么一旦被嗅探到,利用抓包工具里面的协议分析仪功能,就可以查看包里面的明文用户名密码等内容。

常见攻击用到的工具

1.字典生成工具

Crunch、CUPP等

2.密码破解工具

Hydra、Medusa、Aircrack-ng等

3.钓鱼邮件,电话钓鱼攻击

只需要一个邮箱后者一部电话

P2常见密码安全风险行为

密码是权限控制的第一道关卡,因为很多用户设置密码过于简单,登录的系统也并没有强制采用强密码策略,同时也没有采用其他的多因素身份验证的方式,包括用户的安全意识的不足,就容易遭受社会工程学攻击。而且密码被破解之后,缺乏异常登陆的报警,也没有能够及时地监测到密码的异常登陆,就会导致攻击频发。

我们有哪些常见的密码安全相关的风险的行为?

1.设置弱密码,例如123456这样的简单密码;

2.轻易相信别人,不验证别人身份就透露密码和密保问题;

3.密码一旦设置不再修改,包括使用共享密码;

4.密码主动外泄;

5.肩窥等等......

我们威胁的主体就是常见的攻击者,就是所谓的黑客,他会利用各种各样的漏洞去发动攻击,从而造成我们所谓的风险。

弱密码本身就是一个漏洞,它会导致两类风险:第一个是外部风险,也就是说如果由于各种各样的原因造成客户信息的泄露、客户的投诉以及监管的惩罚,这些都是外部的风险;

第二个是内部风险,比如由于某种原因,后台的密码被攻破,那么黑客就可以去登录我们的系统的后台,植入webshell,夺取服务器的最高权限。甚至还可以不动声息地在我们的服务器上植入挖矿的软件,包括利用服务器发送垃圾邮件,成为发动拒绝服务攻击的一些傀儡。如果由于密码的漏洞被安装了间谍软件,那么内网的所有数据都会被监听,包括财务数据、开发的代码等等,企业内部也没有任何的秘密可言。

P3安全行为规范建议

风险的常见处置方式

1.风险的接受

2.风险的规避

3.风险的减小

4.风险的转移

风险控制的手段

1.预防性控制

2.检测性控制

3.修复性控制

按照功能性,又可以分为:

1.物理性控制

2.逻辑性控制,又称技术性控制

3.管理性控制,又称行政性控制

常见的安全行为规范

1.强密码策略

2.密码复杂度

3.密码历史

4.密码最长/最短使用时间

在设计系统的时候,除了做密码的验证,对密码实施强密码策略,对密码进行验证之外,还需要利用口令、令牌或者是生物验证等其他的方式去实施双因素或者多因素身份验证,仅靠密码身份验证进行验证是完全不够的。

另外一方面,密码找回的问题也不能过于简单,而且还要不断去验证它的一个身份等等,这都是密码设计的一个安全行为的规范。

最后在内网实施产品码策略,可以在预控服务器上去执行,通过组策略去实施密码长度、复杂度等强密码的一个策略,包括去实施账户地锁定的阙值、持续时间等等。也可以用于我们的线上的系统,这些都是一些密码相关的安全设计的规范,包括使用加密去存储账户密码,通过密码学的一些手段去实施密码的加密,不能以明文的形式存储密码。还要去定期的去做审计,及时去触发报警等等。

以上内容参考安全牛课堂 密码安全,涉及强密码策略,演示内网密码攻击示例,账户密码加固策略,以及简单的加密基本原理,对称加密非对称加密,公钥基础设施架构;风险危害透析、常见风险行为分析、安全行为规范建议、管理和技术手段建议等。

  网络安全入门学习路线

其实入门网络安全要学的东西不算多,也就是网络基础+操作系统+中间件+数据库,四个流程下来就差不多了。

1.网络安全法和了解电脑基础

其中包括操作系统Windows基础和Linux基础,标记语言HTML基础和代码JS基础,以及网络基础、数据库基础和虚拟机使用等...

别被这些看上去很多的东西给吓到了,其实都是很简单的基础知识,同学们看完基本上都能掌握。计算机专业的同学都应该接触了解过,这部分可以直接略过。没学过的同学也不要慌,可以去B站搜索相关视频,你搜关键词网络安全工程师会出现很多相关的视频教程,我粗略的看了一下,排名第一的视频就讲的很详细。 当然你也可以看下面这个视频教程仅展示部分截图: 学到http和https抓包后能读懂它在说什么就行。

2.网络基础和编程语言

3.入手Web安全

web是对外开放的,自然成了的重点关照对象,有事没事就来入侵一波,你说不管能行吗! 想学好Web安全,咱首先得先弄清web是怎么搭建的,知道它的构造才能精准打击。所以web前端和web后端的知识多少要了解点,然后再学点python,起码得看懂部分代码吧。

最后网站开发知识多少也要了解点,不过别紧张,只是学习基础知识。

等你用几周的时间学完这些,基本上算是具备了入门合格渗透工程师的资格,记得上述的重点要重点关注哦! 再就是,要正式进入web安全领域,得学会web渗透,OWASP TOP 10等常见Web漏洞原理与利用方式需要掌握,像SQL注入/XSS跨站脚本攻击/Webshell木马编写/命令执行等。

这个过程并不枯燥,一边打怪刷级一边成长岂不美哉,每个攻击手段都能让你玩得不亦乐乎,而且总有更猥琐的方法等着你去实践。

学完web渗透还不算完,还得掌握相关系统层面漏洞,像ms17-010永恒之蓝等各种微软ms漏洞,所以要学习后渗透。可能到这里大家已经不知所云了,不过不要紧,等你学会了web渗透再来看会发现很简单。

其实学会了这几步,你就正式从新手小白晋升为入门学员了,真的不算难,你上你也行。

4.安全体系

不过我们这个水平也就算个渗透测试工程师,也就只能做个基础的安全服务,而这个领域还有很多业务,像攻防演练、等保测评、风险评估等,我们的能力根本不够看。

所以想要成为一名合格的网络工程师,想要拿到安全公司的offer,还得再掌握更多的网络安全知识,能力再更上一层楼才行。即便以后进入企业,也需要学习很多新知识,不充实自己的技能就会被淘汰。

从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。

尾言

因为入门学习阶段知识点比较杂,所以我讲得比较笼统,最后联合CSDN整理了一套【282G】网络安全从入门到精通资料包,需要的小伙伴可以点击链接领取哦! 网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!https://mp.weixin.qq.com/s/BWb9OzaB-gVGVpkm161PMw

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/IT小白/article/detail/361435
推荐阅读
相关标签
  

闽ICP备14008679号