了解密码安全术语:字典式攻击

Benjamin Scott

作为用户,我们相信公司和服务提供商会确保我们的数据安全。我们希望他们不要在其软件中留下任何漏洞,能够对其员工进行妥善培训,且不要以明文形式来存储用户名和密码。

但一切并没有看起来的那么简单。任何人都有可能遭遇网络安全攻击,有时,您或自己的业务甚至将自身难保。但是,对于其中一些攻击,比如字典式攻击,我们其实能够轻松避免。

赶紧来看看什么是字典式攻击,以及如何操作才能阻止它的发生。

什么是字典式攻击?

字典式攻击是一种通过尝试许多常用词及其简单变体来猜测出密码的系统方法。攻击者使用大量最为常用的密码、人气宠物名字、虚构人物或字典中的字词——这就是字典式攻击的名称缘由。他们也会将一些字母更改为数字或特殊字符,比如 “[email protected]”。

黑客会使用此类攻击来访问在线账号,也将其用于文件解密——后者会造成更大的问题。我们大多数人多多少少会采取一些措施,来保护自己的电子邮件或社交媒体账号。但对于和他人进行共享的文件,只会选择简单易记的日常用语作为保护措施。如果通过不安全的连接发送这些文件,它们很容易被拦截,使用字典式攻击来猜出密码也就不是什么难事。

字典式攻击的原理是怎样的?

在字典式攻击过程中,程序将系统地输入列表中的单词作为密码,以获取对系统、账号或加密文件的访问权限。字典式攻击的执行方式,在线离线均可。

在在线攻击中,攻击者将像任何其他用户一样反复尝试登录或获得访问权限。如果黑客拥有可能的密码列表,此类攻击的效果会更为显著。如果攻击时间过长,系统管理员或原始用户可能会注意到攻击的存在。

但在离线攻击过程中,猜测密码的次数并无网络限制。为此,黑客需从其想要访问的系统中获取密码存储文件,因此离线攻击相比在线攻击更为复杂。不过,一旦黑客获取了正确的密码,就能在无人注意到的情况下进行登录。

暴力破解攻击和字典式攻击有何区别?

暴力破解攻击也被用于密码的猜测。此类攻击主要依赖攻击者计算机的计算能力。在暴力破解攻击过程中,程序还将自动输入字母、符号和数字的组合,不过在此情况下,输入的组合是完全随机的。暴力破解攻击也可以在线和离线方式进行。

然而,英语中有 1,022,000 个单词。通过使用字母和数字 0-9,您可以创建出 218,340,105,584,896 个八字符长的密码。在这种情况下,字典式攻击的成功率更高,因为它旨在破解的密码只是一个简单的英文单词。并且,很有可能只是一个简单的英文单词。而一项普通的暴力破解攻击将花费更长时间,并且不太可能成功破解。

字典式攻击本质上就是暴力破解攻击。它们唯一的区别就是字典式攻击更为有效——这类攻击通常不需要尝试太多组合就能取得成功。不过,如果想要破解的密码是真正独特的密码,那么字典式攻击将无计可施。在这种情况下,使用暴力破解就成了唯一的选择。

如何避免密码的字典式攻击?

所有组织机构中的 IT 部门都应采取一些预防措施,以保护他们的系统免受字典式攻击。在线攻击相对容易被阻止。您可以使用验证码,实施强制性的双因素身份验证,限制用户在其账号被锁定之前可尝试登录的次数。

不过,涉及到离线攻击,情况就更加复杂。但是,您也可以使用双因素身份验证,并设置针对密码的严格要求:不能使用流行的密码、不能使用常用的单词或短语、最少 12 个字符等。最重要的一点是,务必确保不以明文形式存储密码。

而我们作为用户,又能采取哪些措施来保护自己的账号免遭黑客入侵呢?首先,密码必须不可预测。最好的密码就是对公众没有实际意义的词。务必谨记,密码的长短并不是让它成为强密码的原因所在。选择 “pachycephalosaurus” 还是 cat” 作为密码并没有什么区别——计算机将花费同等的时间来猜测出两者中的任意一个。

因此,请务必创建新单词,使用自创的特殊字符,或者最好使用大小写字母、符号和数字组成的随机字符串。

要想出多个新密码,实在有些困难?不妨试试我们的密码生成器。您可以选择想要使用的符号,并为您的所有账号生成唯一的强密码。当然,您不可能记得住这些密码,但它们也不可能被别人猜中。对您来说,幸运的是,您无需再绞尽脑汁记住自己所有的密码。

只需使用一款密码管理器,比如 NordPass,就能安全地存储所有密码。它们只由您一个人掌握,从此您的在线账号将安全无虞。