多年来，密码一直是保护个人数字生活免受外界侵害的首选方法。密码黑客通常非常积极，因为他们知道他们窃取的内容可能会导致他们获得大量数据，例如银行详细信息、客户记录等。然而，随着密码学和生物识别技术开始变得越来越广泛，这种简单的身份验证方法的缺陷变得更加明显。

值得一提的是，密码泄露在近期最大的网络安全事件之一SolarWinds 黑客攻击中所扮演的角色。据透露，自 2018 年 6 月以来，实习生创建并泄露的密码“ solarwinds123”可通过私人 GitHub 存储库公开访问，使黑客能够计划和实施大规模供应链攻击。

尽管如此，就算密码没有泄露，也不难被攻击者猜到。用美国政治家凯蒂·波特的话来说，大多数父母使用更强的密码来阻止他们的孩子“在他们的 iPad 上看太多 YouTube”。

密码强度低或容易猜到的密码比你预期的要普遍：NCSC最近的调查结果发现，大约六分之一的人使用宠物的名字作为密码，这使得它们具有很高的可预测性。更糟糕的是，这些密码往往会在多个站点重复使用，三分之一 (32%) 的人使用相同的密码访问不同的帐户。

密码是网络安全专家最可怕的噩梦也就不足为奇了。要解决此问题，有一些值得采取的步骤，例如实施稳健的多层身份验证。考虑网络犯罪分子必须采取的入侵你的帐户和“了解你的敌人”的步骤来降低风险也是值得的。我们汇总了攻击者使用的 12 大密码破解技术，让你和你的企业做好更充分的准备。

1. 网络钓鱼

网络钓鱼是当今最常用的密码窃取技术之一，通常用于其他类型的网络攻击。植根于社会工程策略，它的成功取决于能够在恶意行动的同时用看似合法的信息欺骗受害者。

企业非常清楚针对其员工的广泛网络钓鱼尝试，并经常在明确通知和不知情的情况下对他们进行网络钓鱼培训。通常通过电子邮件进行，网络钓鱼的成功也可以通过其他通信形式实现，例如 SMS 文本消息，称为“网络钓鱼”。

网络钓鱼通常涉及向收件人发送电子邮件，同时在电子邮件中包含尽可能多的元素以使其看起来合法，即公司签名、正确的拼写和语法，以及最近附加到现有电子邮件线程的更复杂的攻击，网络钓鱼在攻击后期出现链。

从那里，攻击者将尝试鼓励用户下载和打开恶意文档或其他类型的文件（通常是恶意软件）以实现攻击者想要的任何目的。这可能是窃取密码，用勒索软件感染它们，甚至是偷偷隐藏在受害者的环境中，作为未来远程攻击的后门。

这些年来，计算机知识得到了提高，许多用户都接受过如何识别网络钓鱼电子邮件的良好培训。告密的线索现在广为人知，人们知道何时以及如何报告工作中的可疑电子邮件。只有最好的活动才是真正有说服力的，就像前面提到的电子邮件劫持活动一样。

尼日利亚所谓的王子寻找继承人或代表富有的已故亲属行事的公司发来电子邮件的日子已经很少见了，尽管你仍然可以在这里和那里找到奇怪的、极其奢侈的索赔。

我们最近最喜欢的是第一位尼日利亚宇航员的案例，他不幸迷失在太空中，需要我们充当中间人，向俄罗斯航天局转移 300 万美元——这显然是往返航班。

2. 社会工程学

说到社会工程，这通常是指欺骗用户相信黑客是合法代理人的过程。一个常见的策略是黑客打电话给受害者并伪装成技术支持，要求提供网络访问密码之类的东西以提供帮助。如果亲自使用伪造的制服和证件，这可能同样有效，尽管如今这种情况已经不那么普遍了。

成功的社会工程攻击可以令人难以置信地令人信服且利润丰厚，例如，一家英国能源公司的首席执行官在黑客使用模仿其助手声音的人工智能工具欺骗他后，损失了 201,000 英镑。

3.恶意软件

键盘记录器、屏幕抓取工具和许多其他恶意工具都属于恶意软件，旨在窃取个人数据的恶意软件。

除了试图阻止对整个系统的访问的勒索软件等具有高度破坏性的恶意软件外，还有专门针对密码的高度专业化的恶意软件系列。

Keyloggers和他们的同类记录用户的活动，无论是通过击键还是屏幕截图，然后与黑客共享。一些恶意软件甚至会主动搜索用户的系统，寻找密码字典或与网络浏览器相关的数据。

4.暴力破解

蛮力攻击涉及黑客使用各种方法，通常是在反复试验的基础上，猜测他们进入用户帐户的方式。例如，这可能会导致攻击者简单地尝试对已知用户名使用常用密码，如“password123”。

蛮力攻击也可以采取攻击者进行有根据的猜测的形式。例如，用户名可能已经知道，攻击者甚至可能认识受害者本人，因此与已知出生日期、最喜欢的运动队和家庭成员姓名相关的猜测都可以提供正确密码的线索，例如 LiverpoolFC97。

它们有点类似于字典攻击，但通常缺乏相关的复杂性、自动化和计算复杂性。

5.字典攻击

字典攻击类似于蛮力方法，但涉及黑客运行自动化脚本，这些脚本获取已知用户名和密码的列表，并按顺序对登录系统运行它们以获得对服务的访问权限。这意味着在尝试对每个可能的密码尝试下一个用户名之前，必须针对每个可能的密码检查每个用户名。

该方法在计算上要求很高，因此通常非常耗时。使用最强的密码加密标准，进行字典攻击的时间往往会增加到无法维持的程度。

人们担心，鉴于量子计算的计算能力，它们的出现可能会使密码变得无用，甚至消费级设备也会威胁到密码。例如，Nvidia 的 RTX 4090 GPU 在串联运行八个字符时，经证明只需不到一个小时即可破解每个八字符密码。这大约有 2000 亿种不同的可能性，包括密码中以不同顺序排列的不同字母大写、符号和数字。

6.面具攻击

字典攻击使用所有可能的短语和单词组合的列表，掩码攻击的范围更加具体，通常根据字符或数字改进猜测——通常基于现有知识。

例如，如果黑客知道密码以数字开头，他们将能够定制掩码以仅尝试这些类型的密码。密码长度、字符排列、是否包含特殊字符或单个字符重复多少次只是可用于配置掩码的一些标准。

这里的目标是大大减少破解密码所需的时间，并删除任何不必要的处理。

7.彩虹桌攻击

每当密码存储在系统上时，它通常使用“哈希”或加密别名进行加密，因此如果没有相应的哈希就无法确定原始密码。为了绕过这一点，黑客维护和共享记录密码及其相应哈希值的目录，这些目录通常是根据以前的黑客攻击构建的，从而减少了闯入系统（用于暴力攻击）所需的时间。

彩虹表更进一步，因为它不是简单地提供密码及其哈希值，而是存储基于哈希算法的加密密码的所有可能明文版本的预编译列表。然后，黑客可以将这些列表与他们在公司系统中发现的任何加密密码进行比较。

与其他方法相比，大部分计算都是在攻击发生之前完成的，这使得发起攻击变得更加容易和快捷。对于网络罪犯来说，不利的一面是可能组合的庞大数量意味着彩虹表可能非常庞大，通常有数百 GB 的大小。

8. 网络分析仪

网络分析器是允许黑客监视和拦截通过网络发送的数据包并提取其中包含的纯文本密码的工具。

这种攻击需要使用恶意软件或物理访问网络交换机，但事实证明它非常有效。它不依赖于利用系统漏洞或网络错误，因此适用于大多数内部网络。在攻击的第一阶段使用网络分析器也很常见，随后是暴力攻击。

当然，企业可以使用这些相同的工具来扫描自己的网络，这对于运行诊断或故障排除特别有用。使用网络分析器，管理员可以发现正在以纯文本形式传输的信息，并制定策略以防止这种情况发生。

防止这种攻击的唯一方法是通过 VPN 或类似的东西路由它来保护流量。

9. 抓取

Spidering 指的是黑客深入了解他们的目标以便根据他们的活动获取凭证的过程。该过程与网络钓鱼和社会工程攻击中使用的技术非常相似，但涉及黑客方面的大量跑腿工作——尽管它通常因此更成功。

黑客如何使用网络爬虫将取决于目标。例如，如果目标是一家大公司，黑客可能会尝试获取内部文档，例如新手手册，以了解目标使用的平台类型和安全性。在这些文件中，你经常可以找到有关如何访问某些服务的指南，或有关办公室 Wi-Fi 使用的说明。

通常情况下，公司会以某种方式使用与其业务活动或品牌相关的密码——主要是因为这让员工更容易记住。黑客能够通过研究企业创建的产品来利用这一点，以构建可能的单词组合的命中列表，该列表可用于支持暴力攻击。

与此列表中的许多其他技术一样，抓取过程通常由自动化支持。

10.离线破解

请务必记住，并非所有黑客攻击都是通过互联网连接进行的。事实上，大部分工作都是离线进行的，特别是因为大多数系统都限制了在锁定帐户之前允许的猜测次数。

离线黑客通常涉及使用可能从最近的数据泄露中获取的哈希列表来解密密码的过程。在没有检测威胁或密码形式限制的情况下，黑客能够从容应对。

当然，这只能在成功启动初始攻击后才能完成，无论是黑客通过使用SQL 注入攻击获得提升的权限并访问数据库，还是偶然发现未受保护的服务器。

11.肩冲浪

与此列表中技术上最复杂的方法不同，肩窥法是黑客可用的最基本但最有效的技术之一，只要有正确的上下文和目标。

有点不言自明，肩窥只是看到黑客从潜在目标的肩膀上窥视，希望在输入密码时直观地跟踪击键。这可以发生在咖啡店等任何公共场所，甚至可以发生在飞机等公共交通工具上。例如，一名员工可能正在访问机上互联网以在着陆前完成一项任务，而黑客可能就坐在附近，等待机会记下电子邮件帐户的密码。

如果你定期甚至半定期在公共场所工作，则值得考虑使用装有技术的设备，以防止窥视者看到显示屏上的内容。例如， HP 的EliteBooks通常带有为设备配置 Sure View 隐私屏幕的选项。其他第三方选项也可从在线零售商处获得，它们可以简单地放置在大多数笔记本电脑显示屏上，而且价格也很实惠。

12. 猜猜

如果一切都失败了，黑客总是可以尝试猜测你的密码。虽然有许多可用的密码管理器可以创建无法猜测的字符串，但许多用户仍然依赖于令人难忘的短语。这些通常基于爱好、宠物或家庭，其中大部分通常包含在密码试图保护的个人资料页面中。

将此作为犯罪分子的潜在途径消除的最佳方法是保持密码卫生并使用密码管理器，其中许多都是免费的。