基于密码的加密攻击

Question

基于密码加密的频繁攻击是具有特殊硬件的字典攻击.我怀疑这是对密文唯一有希望的攻击。对吗？

另一个针对密码的攻击场景是键盘记录器。这次攻击不是针对密文，而是针对系统。

除了这两种攻击方案之外，是否有专门针对密码的攻击(一般情况下不是加密)？

Answer 1

尝试对密码进行不同类型的攻击，例如:脱机字典攻击:通常，强访问控制用于保护系统的密码文件。然而，经验表明，坚定的黑客可以经常绕过这种控制，并获得对文件的访问权。攻击者获取系统密码文件，并将密码哈希与常用密码的哈希进行比较。如果找到匹配，攻击者可以通过ID/密码组合获得访问权限。对策包括控制以防止未经授权访问密码文件，采取入侵检测措施以识别危害，以及在密码文件受到破坏时迅速重新颁发密码。

特定帐户攻击:攻击者以特定帐户为目标并提交密码猜测，直到发现正确的密码为止。标准对策是帐户锁定机制，它在多次登录尝试失败后锁定对帐户的访问。典型的做法是不超过五次访问尝试。

·流行密码攻击:前一种攻击的一个变体是使用流行密码，并针对广泛的用户ID进行尝试。用户倾向于选择一个容易记住的密码；不幸的是，这使得密码很容易猜测。对策包括禁止用户选择通用密码的策略，以及扫描身份验证请求的IP地址和提交模式的客户端cookie。

·针对单个用户的密码猜测:攻击者试图获取有关帐户持有人和系统密码策略的信息，并使用这些知识猜测密码。对策包括培训和执行密码策略，使密码难以猜测。这些策略解决了密码的保密性、密码的最小长度、字符集、禁止使用众所周知的用户标识符以及密码必须更改之前的时间长度。

·工作站劫持:攻击者等待登录工作站无人值守。标准对策是在不活动一段时间后自动将工作站注销。入侵检测方案可以用来检测用户行为的变化。

·利用用户错误:如果系统指定了密码，那么用户更有可能将其写下来，因为它很难记住。这种情况使对手有可能读取书面密码。例如，用户可以故意共享密码，以使同事能够共享文件。此外，攻击者通常通过使用社交工程策略来成功地获取密码，这种策略可以欺骗用户或帐户管理人员泄露密码。许多计算机系统都带有预先配置好的系统管理员密码。除非更改了这些预先配置的密码，否则很容易猜测它们。对策包括用户培训、入侵检测和与另一种身份验证机制相结合的简单密码。

·利用多种密码:如果不同的网络设备为特定用户共享相同或相似的密码，攻击也会变得更有效或更具破坏性。对策包括禁止在特定网络设备上使用相同或类似密码的策略。

电子监控:如果通过网络传递密码以登录到远程系统，则很容易被窃听。简单的加密不会解决这个问题，因为加密的密码实际上是密码，可以被对手观察和重用。资源:计算机安全原则和实践威廉·斯泰林斯

Answer 2

您还可能需要考虑彩虹表，它用于查找散列密码的明文值，但不是使用传统的字典蛮力技术。

Answer 3

你背后的人总是个问题。我知道这不是讨论，因为我们只处理系统，我们忘记了身体上也有弱点。