資安界必知 五大駭客破解密碼手法全公開
編譯/鄭智懷
毫無疑問,密碼破解絕對名列資安最大威脅排行之一。無論是剛入職場的資安新兵,或是從業多年的沙場老將,都必須知道駭客如何破解密碼,以協助服務單位保護持有的數據資料。
但在了解駭客破解密碼的主流技術之前,首先必須先弄清楚密碼是如何儲存。一般而言,密碼主要由加密與雜湊(Hash)兩大模式保護並儲存,前者將密碼特透過特定系統轉為可逆的「密文」,後者則是將資料轉為具固定長度「指紋」的訊息。而破解密碼的關鍵就是透過如網路釣魚等各式手法獲得上述方案的運作原理與演算法內容。
一、暴力破解
暴力破解(Brute Forcing)是一般駭客最常使用,也是所有其他方法都失效時,唯一派得上用場的密碼破解手法。攻擊者會使用一組或多組設備嘗試各種密碼,入侵目標設備。因此,假使目標的密碼越複雜,譬如混合使用數字、大小寫,與特殊符號,被破解的時間就越長。
二、彩虹表
所謂彩虹表(Rainbow Table),意指透過雜湊演算法,將密碼轉成特定文字列表。攻擊者藉由上述如如網路釣魚等手法從各地獲得該列表後,就將相關數據輸入,比照目標密碼的演算法是否與其匹配,進而取得可能的破解資料。
三、字典攻擊
字典攻擊(Dictionary Attack)也屬於暴力破解的一環,攻擊者可能使用常用單字、公司名、運動員姓名等,縮小目標可能選用的密碼範圍。譬如「StarWar123」等等。
四、憑證填充
憑證填充(Credential Stuffing)攻擊主要利用一般人可能利用特定訊息加上不同內容,譬如「StarWar135」與「StarWar246」登入不同帳戶與設備之習慣。因此,當攻擊者破解電腦登入密碼後,就會以此為基礎,繼續在其他帳戶與設備嘗試類似但不同的密碼。
五、弱密碼雜湊
隨著科技的進步,各式雜湊演算法也不斷遭到破解,例如過去被認為堅不可破的MD5或SHA-1在當前已經可以被輕鬆破解,故被稱為弱密碼雜湊(Weak Password Hashes)。假使仍使用類似的演算法保護數據,將可能被駭客迅速攻破,輕鬆取得資料。
資料來源:BleepingComputer
瀏覽 11,412 次