黑客盗取密码的常见方法与防御策略
一、猜测法
猜测法是从用户的心理入手进行分析,从而破解出密码。掌握好该方法可以缩短破解时间,获取用户信息。这种方法主要指针对个人账号的密码破解,而非软件注册机的破解。
使用该方法时,主要考虑以下一些心理原则和常见习惯:
1. 使用姓氏拼音作为密码
对中国人来说,一般没有英文名,所以很多人用中文拼音来做密码。要么就是简称,要么就是全拼音。而且,如今的密码字典中已经将百家姓一一列出,破解该类密码很容易。
2. 使用生日作为密码
使用生日作为密码的人特别多,这是由于自己的生日一般不会忘记。一般人是这样的习惯,如 6 位就是 790812(年月日)。4 位是 0812 或 7908 或 7912,总体来说也就是年、月和日都是同样位数的组合,因为这样比较美观。但需要注意的一点是现在很多人喜欢把生日和姓名结合使用,如 yao19830131ming 或 ym19830131 等。
3. 使用连续或相同的数字作为密码
数字也是用得很多的,如 123 或 123456(因为一般习惯是 6 位数字,如银行的存折是 6 位,网上很多最低要求 6 位),特别是新手。一般人密码是 3 位或 6 位,如 111、123、168、1314 等也是常用的。
注意:此类简单密码极易被自动化工具扫描。
4. 使用证件号码作为密码
现在的人有很多的证件,如身份证、驾驶证、结婚证,也有很多的卡,如银行卡、购物卡、打折卡和上班卡等。有些人为了方便记忆,和身份相关的密码就用身份证号码,银行登录密码就用银行卡号码,购物卡密码就用购物卡号码,这样方便倒是方便了,但相关证件一丢失,密码就容易被破解。还有一种最'傻瓜'的密码设置方式,就是将各种密码保存在电脑或手机上,这样一旦信息丢失,损失将非常巨大。
二、穷举法
穷举法是指将数字和字母的组合进行逐一尝试,最后得出正确的组合,又称暴力破解。这种方法效率较低,但是比较可靠,只要时间保证,也可以很容易得到密码。
1. 使用连续或相同的字母作为密码
虽然连续或相同字母的组合比连续数字多,但是对于黑客软件来说,破解这种密码所花的时间与破解连续数字相比差别不大。
2. 使用 7 位以下的数字作为密码
数字只有 10 个,7 位数字的组合就只有 10,000,000 种。按普通电脑每秒 3 万种的破解速度来算,破解该密码只需要几分钟。
3. 使用生日数字组合作为密码
年月日的不同排列顺序共有 892,800 种可能,按如今电脑每秒几万次的破解速度来看,破解该密码最多只要 12 秒,安全性不言而喻。
4. 使用 5 位以下字母+数字的组合作为密码
字母加数字共有 36 个,5 位数组合方式就只有 60,466,176 种,还是按照 3 万种每秒的破解速度,破解该种密码最多不超过半个小时。
三、字典法
这里所谓的字典与平时使用的字典不同,它是指将平时常用的数字、英文单词和英文单词的组合融合起来成为一个包含大量词条的密码字典。破解密码时使用软件用字典中的词条逐一进行尝试,直到找到正确的密码。这种方法的效率高于穷举法,但是如果该密码不被字典所包含,那么就不能成功破解。目前大多数破解软件都首选字典法破解。
四、密码安全加固建议
了解了攻击原理后,如何保护自己的账户安全至关重要。以下是有效的防御策略:
1. 提高密码复杂度
避免使用个人信息(生日、姓名、手机号)作为密码。建议使用大小写字母、数字和特殊符号的组合,长度至少 12 位以上。例如:Tr0ub4dor&3 比 password123 安全得多。
2. 避免密码复用
不要在多个网站使用相同的密码。一旦某个小网站数据库泄露,黑客会利用撞库技术尝试登录你的其他重要账户(如邮箱、银行、社交账号)。
3. 启用双重验证 (2FA)
如果平台支持,务必开启双重验证。即使密码被盗,攻击者没有你的手机验证码或认证器生成的动态码也无法登录。
4. 定期更换密码
对于高敏感账户,建议每 3-6 个月更换一次密码。同时,不要使用过于简单的规律性变化(如仅修改最后一位数字)。
