針對用戶密碼的攻擊有哪些

針對用戶密碼的攻擊有以下這些：

• 暴力攻擊：暴力攻擊指黑客使用大量常見或泄露密碼進行大量訪問嘗試的簡單粗暴的密碼攻擊。即使是使用當今的高性能CPU能力的“游戲PC”級的計算機也可以每秒“猜測”數十億個密碼。

• 字典攻擊：字典攻擊是暴力攻擊的一種，在破解密碼或密鑰時，逐一嘗試用戶自定義詞典中的可能密碼（單詞或短語）的攻擊方式。與暴力破解的區別是，暴力破解會逐一嘗試所有可能的組合密碼，而字典式攻擊會使用一個預先定義好的單詞列表（可能的密碼）。

• 密碼噴灑：窮舉攻擊是固定好用戶名，利用多個密碼嘗試驗證。與窮舉攻擊相反，密碼噴灑攻擊是固定好密碼，嘗試多個用戶名進行驗證。密碼噴灑使用一個或數個通用密碼“碰撞”許多不同的帳戶，這種方法可以避免（多次密碼嘗試后的）帳戶鎖定閾值，許多組織將賬戶密碼的錯誤嘗試次數限制在3到5次。通過每次只嘗試少于鎖定閾值的一個密碼，攻擊者可以在整個組織中嘗試多個密碼，而不會被Active Directory中的默認保護機制阻止。密碼噴灑攻擊者通常會選擇最終用戶常用的密碼、或使用已在網上泄露的密碼。

• 憑證填充（撞庫）：憑證填充（Credential Stuffing）是一種自動黑客攻擊，也就是我們習慣稱的“撞庫”,利用從一項服務數據泄露中獲得的登錄憑據嘗試登錄到另一個不相關的服務。憑借高達2%的成功率，憑證填充自動程序占全球需多大型網站所有登錄流量的90%以上，并且產生大量二手數據泄露。

• 網絡釣魚：網絡釣魚是一種古老的攻擊，已經有幾十年歷史，但至今仍然非常有效，非常主流。網絡釣魚攻擊通過欺詐手段操縱人們執行操作或泄露機密信息，通常通過電子郵件進行實施。例如，攻擊者偽裝成合法組織或服務，以誘使用戶泄露帳戶信息。最常見的網絡釣魚策略是“緊急恐嚇”，釣魚電子郵件中可能包含諸如“緊急，您的帳戶已被黑客入侵”之類的措辭。攻擊者利用最終用戶的恐慌情緒，讓用戶在“保護信息”時泄露信息。

• 鍵盤記錄器攻擊：鍵盤記錄器攻擊用于記錄用戶在鍵盤上輸入的敏感信息，例如帳戶信息。鍵盤攻擊涉及軟件和硬件。例如，間諜軟件可以記錄鍵盤敲擊以竊取各種敏感數據，從密碼到信用卡號碼。如果攻擊者可以物理訪問最終用戶的計算機，則可以將物理硬件設備與鍵盤關聯以記錄輸入的擊鍵。

• 社會工程攻擊：社會工程包括一系列惡意活動，以操縱人們執行操作或泄露機密信息，包括網絡釣魚、語音釣魚、社交媒體、誘餌和跟蹤等。例如，網絡釣魚攻擊是一種社會工程攻擊形式，攻擊者會誘騙您向他們提供敏感信息，例如密碼、銀行信息或對您的計算機或移動設備的控制權。

• 密碼重置：密碼重置攻擊是一種經典的社會工程攻擊技術，攻擊者假冒受害者致電服務臺請求重置密碼。黑客只需要說服服務臺工作人員向他們提供新密碼，而不是試圖猜測或破解它。大型企業的服務臺員工可能并不認識所有員工，因此尤其危險。疫情期間隨著更多員工轉向混合或完全遠程工作模式，重置攻擊也變得越來越普遍——因為驗證最終用戶并不像親自打招呼那么簡單。多項研究表明，密碼重置中間人攻擊非常簡單有效。

• 物理盜竊：寫下密碼是一種常見且非常危險的活動。貼在顯示器上的“寫有主密碼的便利貼”很容易成為一次重大數據泄露事件的誘因。在密碼管理中強制執行復雜性要求可能會導致用戶將其寫下來。對于少量需要記憶的密碼，可選擇使用密碼短語組合的方式。如果您的最終用戶正在為關鍵業務系統使用多個密碼，請使用密碼管理器。總之，顯示器或桌子上的“物理密碼”是大忌。

• 密碼重用：密碼重用是數據泄露的主要原因之一。研究發現，超過70%的員工在工作中重復使用密碼。在個人和公司帳戶之間共享密碼會使您的網絡容易受到帳戶攻擊。如果您注冊的愛好者論壇被黑客入侵，并且您在公司帳戶中使用相同的密碼，您的密碼最終會出現在暗網上，公司系統也因此變得脆弱。

可以參考密碼設置的訣竅來增強密碼的安全性：

• 聯想法

  可以是某句你非常喜歡的詞句的首字母，或者是這些詞句的演化表達。比如：“一支紅杏出墻來” 的拼音首字母，記憶變成 “1zhxcqL” 其中將 “一” 替換成數字 “1”，同時最后的一個字母 “l” 也使用了大寫。

• 錯位記憶法

  選了一個容易記憶的基礎密碼之后，鍵入時將手指在鍵盤上再向上移一格。比如：基礎密碼是單詞“dog“，那么在鍵盤上稍作錯位變化之后，就變成了”e9t“。只要記住單詞和規則就不用擔心遺忘。

• 中英搭配法

  以 “我愛工作” 為例，演化成 “woLovework7”，簡單解釋下其中 “我” 用拼音表示，其余三個字用英文 “Love work” 兩個單詞表達，love 的 “l” 大寫，并在最后加上數字 7，是的意思就是我愛一周 7 天工作，又簡單又好記有沒有。

回答所涉及的環境：聯想天逸510S、Windows 10。