知识科普丨你的密码是如何被黑客破解的?

释放双眼,带上耳机,听听看~!
在未了解网络安全之前,卡卡和周围的许多人一样困惑,每个人设置的密码可能性有如此之多,那黑客是如何得知的?相信经过今天的科普,你会对黑客的技术有所了解。不过我可要先声明一下,本人并不是黑客,而且任何的...

在未了解网络安全之前,卡卡和周围的许多人一样困惑,每个人设置的密码可能性有如此之多,那黑客是如何得知的?

相信经过今天的科普,你会对黑客的技术有所了解。

不过我可要先声明一下,本人并不是黑客,而且任何的防护都是有漏洞的,无数的大佬已经用行动证明了世界上没有不透风的墙,安全永远只是相对的。

下面是一些常用的破解密码的方法。(不要拿来做坏事哦!)

破解方法1:拼手气

没错,第一种方法是“拼手气”,就像是抢红包时候,看看你是不是运气王,专业一点的说法,应该叫“暴力破解”,这也是黑客界非常常用,有效而且技术含量相对比较低的一种方法。

说白了,就是比谁输密码的速度快,甚至可以手动输入,不借助任何工具,因此才说该方法技术含量较低。

就像这样

因为从理论上来讲,只要把一个密码所有的可能性(即所有的字母、数字与符号的排列组合)全都试一遍,绝对可以找到正确的密码。看到这里,你可能要抗议了,这一个个密码要猜到猴年马月阿!

但是对于身为程序猿的黑客来说,这可是小菜一碟了,他只需写一个程序便可以来代替自己输入密码。现代计算机的计算速度基本都可以达到每秒几十亿次,不过这个速度指的是计算速度,并非输入密码的速度。

比如,用一个暴力破解压缩包密码的小程序作为例子:

以下是输出的结果:

这边设置的字典内容是数字从0到99999,最后测出来的密码是144,从0测到144,一共花了大概8秒的时间(这与计算机的配置有关,主要是CPU)。

效率看上去不是特别的高,不过好歹比人工输入快了不知多少倍。但是,这只是输入纯数字的可能性,如果以这个速度来遍历所有的数字加字母的组合,所需要的时间至少是以亿年为单位。所以光靠瞎猜计算机也救不了你。

不过,当计算机加上统计学,会发生什么事呢?

这张图是2018年发布的,世界最差的100个密码中的前25个,其中123456已经连续五年蝉联第一了,看看这里面有没有你的密码呢?

黑客在暴破密码之前,都会对目标做一些侦察来确定密码可能出现的范围,把可能的值存到一个字处理文件里,一般都是txt文件,这个txt文件就是字典,然后再利用程序来一个一个地尝试字典里的密码。

可能会有同学要提问了,这也不能保证一定就能破解出密码啊,如果我的密码不在他的字典里怎么办?

你的密码是没在他的字典里,但是对于黑客来说,概率性攻击远比准确性攻击更有价值。

比如有10万个目标,即使成功率只有10%,那也能拿下1万个目标,这1万个目标中还是很有可能包含一些有钱的大佬,所以收益还是很可观的。

如果他费劲心思专门去攻击一个账号,而这个账号的主人是个穷人,那么他即使成功了也没啥收获。

破解方法2:撞库

撞库,是指拿着互联网上已经泄露的账号和密码,批量尝试登录另一个网站,因为很多用户在不同的网站上使用相同的账号和密码,所以成功率非常高。

利用这个原理,黑客会先攻击一些小的网站,拿到一大批的账号和密码,然后用来在像支付宝这样的平台上登陆,往往会有很多可以登上去。这利用的就是人们为图方便,把各种平台的账号密码都设成一样的心理。

在这里提醒大家,和钱有关的密码一定要单独设置,千万不要和别的密码重复,否则很容易被撞库攻击。

云上常见的撞库案例

破解方法3:利用漏洞

你是不是觉得,前两个方法都不是很有技术含量,纯粹是“靠运气”,那么这方法3就是实打实的靠技术了。

举个例子,我们现在使用的Wifi包含了很多种加密方式,如下图:

这里有五种加密方式,我们现在常用的是WPA或WPA2,但在以前大多数Wifi都用的是WEP方式。

WEP这种加密方式非常不安全,很容易就被破解,而且和你设置的密码复杂度没有半毛钱关系,就算你设置了一串连自己都不知道是多少的密码,只要捕获到足够的数据包都能破解,用时非常短。

破解方法4:键盘记录

不少黑客使用的是 Keylogger 软件,该软件挺简单的,就是可将键盘的按键顺序和笔划记录到你的计算机的日志文件中。

此前有黑客通过Office文档嵌入恶意宏代码进行传播,当你打开该文档时,会自动启动PowerShell进程,从远程服务器上下载恶意程序,然后执行 Keylogger 程序,记录后盗取受害者浏览器网站上的帐号和密码。

这也是现在许多网站会提供虚拟键盘/软键盘,并打乱键盘的顺序,让你用鼠标点击输入密码的主要原因之一。

破解方法5:网络钓鱼

网络钓鱼也是一种黑客最常用和最致命的攻击媒介之一,黑客通过该技术复制一些访问最多或者是交易平台的网站,界面看上去与平常使用的网站是一模一样的,而且网站链接也很具有欺骗性,以此来捕获受害者。

其中最常见的形式是普通的群发邮件,黑客伪装成其他人发送一封电子邮件,并试图诱骗收件人进行登录网站或下载恶意软件等动作。攻击通常依赖于电子邮件欺骗,其中伪造了电子邮件标题(“发件人”字段),以使邮件看起来像是由受信任的发件人发送的。

此类网络钓鱼攻击一般都是通过伪装称修改密码告知、登录提醒、中奖、退换货、会议注册通知等,但也有部分攻击是专门针对组织和个人而设计的。其形式也不限于电子邮件。

总结

看完以后,是不是对黑客攻击有所了解了呢?

总结一下就是,不要设置过于简单的密码,不要多账户使用同一密码,不要点击来源不明的邮件,不要下载未知文件,不要点击奇奇怪怪的小网站,记得定期修改密码。

如果可以做到以上几点,相信你的密码安全可以提高好几个级别~

给TA买糖
共{{data.count}}人
人已赞赏
行业热点

世平信息参与发起智慧军工工业互联网专业委员会

2020-12-2 9:46:00

行业热点

OPPO安全解析“应用与数据安全防护”背后的技术

2020-12-2 10:53:00

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索