2014年12月5日 星期五

網上驚現密碼搜尋引擊、私密帳戶一分鐘擊破!

網上驚現密碼搜尋引擊、私密帳戶一分鐘擊破!

自從雲端服務興起以後,大家擁有的密碼可能多得連自己都記不起,於是很多人為了方便使用,便採用了一些簡單直接的字串組合成密碼,然而這樣很容易會被黑客擊破,安全風險亦變會比起採用複雜字串組合而成的密碼高得多。

如果你使用了簡單的組合組成密碼,那黑客要攻破你的帳户可能只需很短時間,事關黑客可通過採用所謂的密碼爆破器,並通過載入不同的文字來源,例如常用的詞典作為「撞密碼」動作的背後字串資料庫,然後通過軟件便可針對目標網站進行「試撞」。

一般來說,簡單的密碼不用十分鐘即可攻破。

那些密碼最多人使用?

早前有黑客便「好心地」利用多種手法從互聯網之中取得多達 200 萬個用户資料,當中他們亦針對用户使用的密碼進行統計,結果發現在 200 多萬個「取得」的帳户資料之中,仍有數以萬計的用户採用「123456」作為密碼,試問面對如此「吸引」的帳户,黑客又怎會放過呢?以下是統計後的結果。

密碼:123456 / 發現使用次數:15,820
密碼:123456789 / 發現使用次數:4,875
密碼:1234 / 發現使用次數:3,135
密碼:password / 發現使用次數:2,212
密碼:12345 / 發現使用次數:2,094
密碼:12345678 / 發現使用次數:2,045
密碼:admin / 發現使用次數:1,991
密碼:123 / 發現使用次數:1,453
密碼:1 / 發現使用次數:1,224
密碼:1234567 / 發現使用次數:1,170
密碼:111111 / 發現使用次數: 1,046

除了採用最傳統的字典式「撞密碼」之外,近期網絡上興起了一系列的「密碼搜尋引擊」。這類引擊的主要作用就是讓用户輕易地通過搜尋關鍵字從而獲相關系統的登入密碼。

如何使用?

當然,我們不會公開這些平台的名稱及連結;不過為令大家了解到現時獲取不同目標帳户的密碼方式,以下筆者便會說明一下這些平台的操作方法及背後的一些資料。

輸入目標網址、帳户資料一鍵獲取

首先這類型的平台與大家常用的搜尋引撃並沒有太大分別,都是提供直接的介面讓你即時搜尋目標帳户資料;而為了方便大家搜尋,部份平台更率先支援以「目標網站網址」作為搜尋條件,從而讓用户極速搜尋出屬於該網站的帳户資料。


輸入目標人物電話、姓名即時搜尋帳户資料

上述方法只針對目標網址,然而假如我們希望搜尋指定人物的帳户資料呢?簡單。有平台通過特殊方法取得千萬數據,更提供詳盡的搜尋條件分類,包括支援輸入目標人物的姓名、電郵、電話等,完成後一按,所有符合搜尋條件的帳户資料即時盡現,測試時我們似乎亦發現了一些熟悉的友人資料。


分門別類、以設備類型獲取機密資訊

最後一種方法真的十分恐佈,現時有些黑客專用的搜尋引撃能提供十分詳細的設備分類,當選取了一項設備例如想 Hack 入他人家中的 IP CAM 的話,這些搜尋引撃提供了以「入侵媒介」、「目標設備品牌」等進行分類,選好後更會結合不同黑客過往的成功攻擊方式及案例、注意地方等,從而令你輕易的一鍵 Hack 入他人的 IT 設備。


黑客專用社交網絡

其實這些搜尋引撃當中的資料均來自黑客每次成功的入侵行動,事關這類搜尋引擊依賴的是黑客之間所分享的帳户資訊,從而慢慢形成一個巨形的用户帳户資料庫;配合上專為黑客提供的內部交流平台以及入侵日誌等,我們已可見專為黑客而設的社交網絡正在慢慢成長之中。

如何建立安全密碼?

要避免自己的帳户資料被加進這些黑客搜尋引撃之內,大家需要注意每次登入時所使用時網絡安全、電腦安全,如果本身採用公用網絡以及電腦的話,建議不要進行任何登入行為,事關你不知道公用網絡、電腦的背後有甚麼人正在使用或收集資料。

另外在建立帳户密碼時,亦應採用一些組合較複雜的字串;我們建議密碼的組合應該要同時擁有數字、大小英文字、符號,而且在長度方面亦必須多於 8 個位,這樣要被攻破亦並非數十年可完成的事情,對於傳統的爆破式攻擊方法會有很強的防禦作用。

轉載自《HKITBLOG

沒有留言:

張貼留言