密码 我们到底是怎么到达这里的?他们已经存在了很多年,但是关于它们还有很多话要说。
在大多数组织中,密码是阻止网络犯罪分子和遭受网络攻击的受害者之间的区别。对于这么多组织的众多应用程序,系统和基础架构,防止未经授权访问的唯一安全控制措施是一个简单的密码,长度在4到127个字符之间。
密码(有时称为密码,密码,PIN或机密)用于确保只有授权的员工或用户才能访问应用程序和系统。密码通常与标识符(通常是用户名或电子邮件地址)结合使用,以确定谁在访问系统,以验证该身份的真实性。密码只应为用户所知,不得共享。密码(有时称为密码,密码,PIN或机密)用于确保只有授权的员工或用户才能访问应用程序和系统。密码通常与标识符(通常是用户名或电子邮件地址)结合使用,以确定谁在访问系统,以验证该身份的真实性。密码只应为用户所知,不得共享。
通常,密码是一组字符组合,例如字母,数字和符号,用于验证身份或验证访问系统或应用程序的授权。但是,并非所有登录系统都执行相同的安全最佳做法。不同的身份验证系统需要不同的长度和复杂的密码字符串,这带来了挑战。一些系统设置了密码长度限制,一些系统设置了密码复杂度限制,有些系统甚至要求所有小写字符。
另一种流行的登录方法是PIN。这通常是指仅用于数字的密码,通常为4-6个数字,并且通常在移动设备上使用。作为最佳实践,您应该了解登录系统的限制,以便可以确保配置和使用最高的安全性。并确保您的安全解决方案可用且不太复杂,否则用户将恢复不良的密码卫生习惯,例如在多个系统和凭据之间重用密码。
登录系统并非都提供相同的安全性
大多数登录系统使用一种称为哈希的加密技术将密码存储在数据库中,并且该哈希应该是一种单向算法。除了用户或系统外,没有人应该不知道明文密码。
在安全研究人员发现“冲突”之前,过去最常用的哈希是SHA1。这是两个不同的输入创建相同的输出的时候。这对安全性不利,意味着SHA1无法再用于存储密码。重要的是要知道使用了哪种哈希算法,以及它是否还包含盐:将额外的随机数据添加到输入中。
哈希是一种用于存储密码的单向加密算法
大多数网络罪犯都希望使用最简单,最隐秘和最便宜的方式来窃取密码。网络钓鱼是最简单的方法之一,它们只是询问您密码。该技术利用了您的信任性质,当登录到假冒的登录网站(看起来很真实)时,您会在登录时将用户名和密码交给攻击者。以下是一些用于获取密码的最常用技术:
网络罪犯使用的一些示例使您点击不良内容
让我们仔细看看密码破解技术:
在网络罪犯开始破解您的密码之前,他们必须首先获取哈希,如前所述,该哈希是您密码的加密存储值。有一些工具可以用来获取这些哈希值:
这是典型的密码破解流程:
Kali Linux –流行的渗透测试分发工具
Kali Linux是众所周知的安全工具,它具有从虚拟映像到软件安装的许多不同的可启动选项。它甚至可以在Raspberry PI上运行。它已在全球范围内用于渗透测试,并由IT安全团队保护其网络或在其网络中查找漏洞。Kali随附了多种流行的密码攻击工具:
CeWL –自定义WordList生成器
CeWL是我最喜欢的单词列表生成器之一。它使您可以通过建立蜘蛛网网站来创建单词列表。
当使用CeWL时,我从如下基本命令开始:
命令行选项是:
-h =帮助 -d =到达蜘蛛站点的深度 -m =最小字长 -w =输出文件 -e =包含电子邮件
Mimikatz –安全审核工具
Mimikatz是另一个流行的安全审核工具,用于从内存中提取纯文本密码,哈希,PIN码和Kerberos票证。它主要用于在网络上横向移动,一次一次提升特权。
Hashcat – Hashcat是世界上最快,最先进的密码恢复实用程序
Hashcat是密码破解工具,最常用于执行不同的攻击模式,例如直接攻击,组合攻击,蛮力攻击和混合攻击。
Hashcat攻击模式选项:
hashcat命令的示例:
命令行选项:
-m =哈希类型(0 = MD5,100 = Sha1,1000 = NTLM) -a =攻击模式
0 | 直 1 | 组合 3 | 暴力破解 6 | 混合词表+蒙版 7 | 混合蒙版+词表
Pipal密码分析器
当您破解密码或分析密码转储时,了解密码的一种好方法是使用密码分析器对其进行分析。有几种出色的工具,但是Pipal是我的最爱之一。这很简单,但功能强大。
您需要做的只是针对密码文件运行Pipal ruby。在以下示例中,我使用“ rockyou”密码文件:
Pipal密码分析器的输出示例:
这些只是可用的几种顶级密码破解工具,并且您可以看到,密码很容易破解。因此,重要的是使网络罪犯尽可能地难以完成任务,并确保对于关键系统和应用程序,密码不是保护您环境的唯一安全控制措施。
由于用户通常必须管理30个或更多不同的用户帐户和凭据,因此几乎可以肯定,他们将重用密码或使用相同密码的某些变体。这意味着一旦攻击者攻破了一个密码,他们猜测其他密码就只是一个时间问题,而且借助Hashcat之类的工具以及良好的单词列表和规则,这不会花很长时间!
确保密码不是保护您环境的唯一安全控制
我们必须教育最终用户并为他们提供正确的工具,以使他们不会发展不良的安全卫生习惯。让我们使安全性变得易于使用和方便,并授权用户形成更强大的一线防御。
不要让密码成为保护关键资产的唯一安全方法
最后,这是我的10条安全提示,可帮助用户保护自己,家人和所服务的公司。安全始于家庭。必须在工作场所之外对用户进行教育和授权。