article

8 種密碼攻擊

密碼遭竊、弱密碼和密碼重複使用是導致駭客攻擊相關資料外洩的主要原因，以及存取企業 IT 資源屢試不爽的方法。由於暗網上有數十億個憑證可用，網路犯罪份子不需要費多大的功夫就能找到遭外洩的密碼。

駭客為了獲得最佳的投資回報，往往會尋找容易進入的目標，而提升組織的密碼安全性可以設置更多他們需要克服的障礙。

密碼攻擊有不同的方式，而降低企業風險也有不同的實務做法。讓我們來看看八種密碼攻擊方式，以及如何計劃和應對這些攻擊。

暴力破解攻擊

暴力破解攻擊是一種密碼攻擊類型，駭客透過大量的嘗試來獲得存取權限。這是一種簡單的攻擊，通常涉及自動化方法，例如使用軟體，來嘗試多種字母和數字的組合。

使用大量可能的密碼組合需要很長時間，因此攻擊者必須尋找更有效率的方法。為了生成潛在組合清單，他們通常會從容易的選擇開始，例如常見或簡短的密碼。如果他們知道特定服務供應商的密碼要求（例如接受的最小字元數），攻擊者也會套用這些標準。

鍵盤側錄攻擊

鍵盤側錄器 (keylogger) 是一種間諜軟體，藉由記錄鍵盤鍵入內容來監控使用者的活動。網路犯罪份子會使用鍵盤側錄器來竊取各種敏感資料，從密碼到信用卡號。在密碼攻擊中，鍵盤側錄器不僅會記錄使用者名稱和密碼，還會記錄使用這些憑證的網站或應用程式，以及其他敏感資訊。

鍵盤側錄器可以是硬體或軟體。由於在裝置上安裝硬體需要很多額外的工作，威脅發動者更可能透過誘導使用者點擊惡意連結或附件，以便在電腦或設備上安裝惡意軟體。有些鍵盤側錄器還會隨附在使用者從第三方網站下載的軟體（例如「免費」應用程式）中。

字典攻擊

字典攻擊是一種暴力破解的密碼攻擊方式，攻擊者利用常用詞彙和短語以及常用密碼清單進行攻擊。為了避免可能的密碼清單過長，攻擊者會縮小清單範圍，使用所謂的「字典詞彙」。

這些字詞不僅限於字典中的單字，也可以包括寵物名字、電影角色和人名。駭客還會利用變形，在字母後面加上數字和特殊字元（例如以數字 0 代替字母 O）。

憑證填充攻擊

憑證填充密碼攻擊(Credential Stuffing) 類似於暴力破解攻擊，攻擊者使用試錯法來獲得存取權限。不過，與暴力破解不同的是，他們使用的是被盜的憑證。憑證填充是基於假設很多人會在多個帳戶上重複使用其密碼。

多年來，網站和雲端服務的多次資料外洩導致了大量憑證被盜。只要發生一次主要供應商資料外洩就可能造成數百萬個帳戶受害，網路犯罪份子在暗網上出售、租借或免費發送這些帳戶。

攻擊者使用憑證填充來驗證哪些被盜的密碼仍然有效或可以在其他平台上使用。與暴力破解攻擊一樣，自動化工具讓這些密碼攻擊變得十分成功。

中間人攻擊

中間人 (man-in-the-middle) 攻擊情境涉及三方：使用者、攻擊者和使用者嘗試通訊的第三方。在密碼攻擊中，網路犯罪份子通常會假冒合法的第三方，經常透過網路釣魚電子郵件進行。

電子郵件看起來很真實，而且可能冒充第三方的電子郵件地址來迷惑使用者，即便是有經驗的使用者也可能會上當。攻擊者會試圖說服收件人點擊一個指向看起來很真實的假冒網站連結，然後在使用者登入時取得憑證。

流量攔截攻擊

流量攔截攻擊是中間人攻擊的一種變化形式，攻擊者通過監聽網路流量來監控和擷取資料。常見的方法是透過未加密的 Wi-Fi 連線或不使用加密（例如 HTTP）的連線進行。

即使是 SSL 流量在這種情況下也很容易受到攻擊。例如，駭客可以使用中間人攻擊進行所謂的 SSL 劫持(SSL Hijacking attacks)。SSL 劫持是指當有人嘗試連接到一個安全網站時，攻擊者在使用者和目標網站之間建立一個類似橋樑的連接，並攔截在兩者之間傳輸的所有資訊，例如密碼。

網路釣魚攻擊

如上所述，網路釣魚是一種多用途的攻擊方法。網路犯罪份子使用不同的網路釣魚和社交工程策略，從用於中間人攻擊的網路釣魚電子郵件，到結合魚叉式網路釣魚(Spear phishing) 和語音釣魚(Vishing)（這是一種包括語音電話和指向惡意網站以獲得憑證的連結之多步驟密碼攻擊）。後者已被用於針對員工的 VPN 憑證攻擊。

網路釣魚攻擊通常會為使用者製造緊迫感。因此，這些電子郵件經常聲稱有虛假的帳戶扣款、服務過期，或是 IT 或 HR 問題，或者其他類似更容易引起人們注意的問題。

密碼噴灑攻擊

密碼噴灑攻擊是另一種暴力破解攻擊，涉及對少量使用者帳戶甚至僅一個帳戶嘗試大量常見密碼。

攻擊者在進行密碼噴灑攻擊時會竭盡所能地避免被偵測到。他們通常會先進行偵察，以限制登入嘗試的次數，並防止帳戶被鎖定。

如何防止攻擊

防止密碼攻擊的最佳方法是採用最佳密碼衛生(password hygiene) 和管理實務。對於投機的網路犯罪份子來說，安全性較弱的易被攻擊環境更具吸引力。

提升密碼安全性可大幅增強企業防範資料外洩的能力。密碼最佳實務包括：

要求每個網站或帳戶使用長且複雜的唯一密碼
儘可能實施多因子驗證(Multi-Factor Authenication,MFA)
採用密碼管理器來簡化密碼管理並確保安全儲存

企業的 IT 團隊也應限制對特權帳戶的存取，並為這些帳戶增加額外的安全層。當然，教育所有員工和其他相關人員有關密碼安全的重要性也能有效預防。隨著安全漏洞成為新常態，員工和其他有權存取組織資源的人員在維護公司安全狀態方面都扮演著關鍵角色。

Date: 2024 December 10Reading time: 2 minutes

Identity SecuritySecurity