在未了解网络安全之前,卡卡和周围的许多人一样困惑,每个人设置的密码可能性有如此之多,那黑客是如何得知的?
相信经过今天的科普,你会对黑客的技术有所了解。
不过我可要先声明一下,本人并不是黑客,而且任何的防护都是有漏洞的,无数的大佬已经用行动证明了世界上没有不透风的墙,安全永远只是相对的。
下面是一些常用的破解密码的方法。(不要拿来做坏事哦!)
破解方法1:拼手气
没错,第一种方法是“拼手气”,就像是抢红包时候,看看你是不是运气王,专业一点的说法,应该叫“暴力破解”,这也是黑客界非常常用,有效而且技术含量相对比较低的一种方法。
说白了,就是比谁输密码的速度快,甚至可以手动输入,不借助任何工具,因此才说该方法技术含量较低。
就像这样
因为从理论上来讲,只要把一个密码所有的可能性(即所有的字母、数字与符号的排列组合)全都试一遍,绝对可以找到正确的密码。看到这里,你可能要抗议了,这一个个密码要猜到猴年马月阿!
但是对于身为程序猿的黑客来说,这可是小菜一碟了,他只需写一个程序便可以来代替自己输入密码。现代计算机的计算速度基本都可以达到每秒几十亿次,不过这个速度指的是计算速度,并非输入密码的速度。
比如,用一个暴力破解压缩包密码的小程序作为例子:
以下是输出的结果:
这边设置的字典内容是数字从0到99999,最后测出来的密码是144,从0测到144,一共花了大概8秒的时间(这与计算机的配置有关,主要是CPU)。
效率看上去不是特别的高,不过好歹比人工输入快了不知多少倍。但是,这只是输入纯数字的可能性,如果以这个速度来遍历所有的数字加字母的组合,所需要的时间至少是以亿年为单位。所以光靠瞎猜计算机也救不了你。
不过,当计算机加上统计学,会发生什么事呢?
这张图是2018年发布的,世界最差的100个密码中的前25个,其中123456已经连续五年蝉联第一了,看看这里面有没有你的密码呢?
黑客在暴破密码之前,都会对目标做一些侦察来确定密码可能出现的范围,把可能的值存到一个字处理文件里,一般都是txt文件,这个txt文件就是字典,然后再利用程序来一个一个地尝试字典里的密码。
可能会有同学要提问了,这也不能保证一定就能破解出密码啊,如果我的密码不在他的字典里怎么办?
你的密码是没在他的字典里,但是对于黑客来说,概率性攻击远比准确性攻击更有价值。
比如有10万个目标,即使成功率只有10%,那也能拿下1万个目标,这1万个目标中还是很有可能包含一些有钱的大佬,所以收益还是很可观的。
如果他费劲心思专门去攻击一个账号,而这个账号的主人是个穷人,那么他即使成功了也没啥收获。
破解方法2:撞库
撞库,是指拿着互联网上已经泄露的账号和密码,批量尝试登录另一个网站,因为很多用户在不同的网站上使用相同的账号和密码,所以成功率非常高。
利用这个原理,黑客会先攻击一些小的网站,拿到一大批的账号和密码,然后用来在像支付宝这样的平台上登陆,往往会有很多可以登上去。这利用的就是人们为图方便,把各种平台的账号密码都设成一样的心理。
在这里提醒大家,和钱有关的密码一定要单独设置,千万不要和别的密码重复,否则很容易被撞库攻击。
云上常见的撞库案例
破解方法3:利用漏洞
你是不是觉得,前两个方法都不是很有技术含量,纯粹是“靠运气”,那么这方法3就是实打实的靠技术了。
举个例子,我们现在使用的Wifi包含了很多种加密方式,如下图:
这里有五种加密方式,我们现在常用的是WPA或WPA2,但在以前大多数Wifi都用的是WEP方式。
WEP这种加密方式非常不安全,很容易就被破解,而且和你设置的密码复杂度没有半毛钱关系,就算你设置了一串连自己都不知道是多少的密码,只要捕获到足够的数据包都能破解,用时非常短。
破解方法4:键盘记录
不少黑客使用的是 Keylogger 软件,该软件挺简单的,就是可将键盘的按键顺序和笔划记录到你的计算机的日志文件中。
此前有黑客通过Office文档嵌入恶意宏代码进行传播,当你打开该文档时,会自动启动PowerShell进程,从远程服务器上下载恶意程序,然后执行 Keylogger 程序,记录后盗取受害者浏览器网站上的帐号和密码。
这也是现在许多网站会提供虚拟键盘/软键盘,并打乱键盘的顺序,让你用鼠标点击输入密码的主要原因之一。
破解方法5:网络钓鱼
网络钓鱼也是一种黑客最常用和最致命的攻击媒介之一,黑客通过该技术复制一些访问最多或者是交易平台的网站,界面看上去与平常使用的网站是一模一样的,而且网站链接也很具有欺骗性,以此来捕获受害者。
其中最常见的形式是普通的群发邮件,黑客伪装成其他人发送一封电子邮件,并试图诱骗收件人进行登录网站或下载恶意软件等动作。攻击通常依赖于电子邮件欺骗,其中伪造了电子邮件标题(“发件人”字段),以使邮件看起来像是由受信任的发件人发送的。
此类网络钓鱼攻击一般都是通过伪装称修改密码告知、登录提醒、中奖、退换货、会议注册通知等,但也有部分攻击是专门针对组织和个人而设计的。其形式也不限于电子邮件。
总结
看完以后,是不是对黑客攻击有所了解了呢?
总结一下就是,不要设置过于简单的密码,不要多账户使用同一密码,不要点击来源不明的邮件,不要下载未知文件,不要点击奇奇怪怪的小网站,记得定期修改密码。
如果可以做到以上几点,相信你的密码安全可以提高好几个级别~