大多數網站在你設定密碼時都會以強度燈號來提醒你使用高強度密碼,當然你也應該要這麼做。但是即使你用非常複雜、強度高的密碼也只能算是防護的第一層,本身並不能阻止大多數真正的威脅。攻擊者並不總是透過暴力破解登入或猜測生日等單一手法來入侵,不肖人士經常完全繞過登入或誘騙你交出訪問許可,因此這次我們整理了 9 種完美密碼也無法擋住的真正威脅,還有你該如何避免抵禦它們。
用上高強度密碼也擋不住的 9 種網路威脅
網路釣魚攻擊
網路釣魚攻擊透過針對人為安全性來繞過最強密碼。攻擊者不是破解登入資訊,而是建立看起來與合法網站幾乎相同的虛假網站,例如具欺騙性的銀行登入葉面或虛假的 Microsoft 365 提醒等。這些網站通常以看起來很急迫的電子郵件或訊息發送,誘導你在慌張下一時不察的行動。
當你在虛假頁面上輸入密碼後,密碼會立刻被發送給攻擊者,攻擊者根本不需要猜測或利用任何技術漏洞就可以用你的身分登入。再精明的用戶在疲倦、分心或匆忙時也容易上當受騙,這就是為什麼不管狀況再緊急都要放慢速度、驗證連結並盡可能使用雙重身分驗證很重要。
鍵盤記錄器和惡意軟體
如果你的系統遭受侵入,即使是完美的密碼也無法保護你。鍵盤記錄器可以用靜默悄悄的方式捕捉在電腦鍵盤上輸入的每次鍵擊,其中自然會包含密碼、訊息、網址等所有內容。這些工具在背景悄無聲息地運行,通常與惡意檔案綑綁在一起或透過過時的外掛程式導入。
安裝後,鍵盤記錄器會記錄你輸入的憑據,並將其發送給攻擊者。大多數用戶從未意識到這個過程正在發生,所以你應該要保持作業系統和軟體的最新狀態、不免信任度低的下載以及運行端點保護,這些是保持對系統握有控制權的必要防禦步驟。
對話劫持
即使你的密碼強度很高,如果攻擊者可以劫持對話,可能根本不需要用到密碼。在部分場景中,攻擊者可以竊取對話 Cookie 或身分驗證令牌,並且用它們來類比已登入的使用者,這表示攻擊者可以訪問你所做的一切,諸如電子郵件、銀河帳戶和雲端儲存而無需進入登入頁面。
如果你使用公用電腦或共享設備並且忘記登出,則此攻擊特別危險。對於無加密對話令牌或沒有設定登入實現的不安全網頁應用,這也是個大問題。最好養成習慣在處理完敏感任務後登出,避免在公用設備尚保存會話,並使用可阻止不安全內容的瀏覽器。
中間人攻擊(MitM)
雖然 HTTPS 使傳統 MitM 攻擊變得更加困難,但它們仍然時有所聞,尤其是在未受保護的 Wi-Fi 網路或路由配置錯誤的環境中更是常見。攻擊者可以將自己置於你的設備和網路之間,在數據流動時攔截或操控流量。
MitM 攻擊者可以將腳本注入你正在訪問的頁面,將你重新定向到惡意網站或篡改下載。公共熱點是常見的攻擊點,尤其是針對開放網路或未驗證連接的使用者。VPN 透過在流量離開設備之前對其進行加密來提供幫助,並且永遠不應忽視瀏覽器安全警告,畢竟它們之所以出現都是有原因的。
撞庫攻擊(憑據填充攻擊)
撞庫攻擊既簡單又有效,因為具有擴展性,所以攻擊者特別愛用。如果你的密碼在過去的洩漏事件中洩漏出去,攻擊者可以使用自動化工具在平台上測試你的密碼。這些工具每秒可以進行數千次的登入,如果你跨帳號重複使用同樣的密碼,那麼被試出來也是時間的問題。
這種攻擊並不關心你的密碼強度,如果你重複使用一樣的密碼,就會變得容易受到攻擊。想要避免的方法說穿了也很簡單,就是在每個網站上都使用唯一性的密碼,這時候就會用上密碼管理器,再結合雙重驗證,可以有效地使撞庫攻擊失效。
不安全的密碼儲存
大多數現代網站都會對密碼進行雜湊(Hash)處理,而不適以明碼方式儲存,從而顯著提高安全性。Hash 是一個單向過程,它會將密碼打亂成固定長度的字串,使其難以被逆向破譯。為了使 Hash 更難破解,網站會加上鹽加密,也就是在 Hash 之前與密碼相結合的隨機數據。雖然大多數信譽良好的網站都改用這種方式,但部分較舊的系統仍然使用不安全的 Hash 值,如 MD5 或 SHA-1,這種情況下即使是強度大的密碼也容易洩漏。
發生洩漏事件時,網站儲存密碼的方式決定了攻擊者恢復密碼的難度。如果 Hash 值很強並且鹽加密適當,那麼破解它們的難度會高得多。但若儲存空間較弱,無論多複雜,你的密碼可能很快就會暴露。這就是為何每個網站使用不同密碼是件好事,如果其中一個被入侵,攻擊者也無法利用它訪問你的其他帳號查看內容。雙重驗證還增加一個急需的屏障,即使密碼被破解也可以多一層保護。
對暴力破解不設防的系統
有些系統讓攻擊變得沒有門檻。有些網站不限制登入的嘗試次數,沒有任何阻力、帳號鎖定等措施,即使用到最強的密碼也容易受到攻擊,尤其是當攻擊者使用 Hydra 或 Burp Suite Intruder 等工具腳本來自動化猜測過程時更是如此。
要防止這種情況,不僅僅是你的密碼要保護,還有密碼背後的系統。系統應限制失敗的嘗試、傳送可疑的登入通知,並且支援雙重身分驗證以阻止未經授權的訪問,即使最終攻擊者猜中密碼還有一層障礙阻擋。
密碼重置濫用
攻擊者並不總是試圖破解你的密碼,有時候只是點擊重置。如果有人控制了你的恢復管道,例如你的電子郵件或電話號碼,他們不用接觸到登入畫面就可以接管你的帳號。
當透過未加密的通道發送或與安全性弱的情況搭配起來,會在你的帳號中創建後門。某些網站在請求重置時仍然沒有通知你,這使得更難及時發現被盜用。使用強大的多重身份驗證鎖定你的恢復用電子郵件,並始終使用虛假答案來回答安全問題,因為真實答案通常很容易猜到或在網路社群平台等地方找到。
社會工程
社會工程透過直接針對人性來繞過所有技術防禦。攻擊者可能會冒充同事、合作商或技術支援等任何看起來合法的身分來訪問你的帳號。有時他們根本不是針對你,而是針對能夠接觸到你的人。
這是最有效的攻擊形式之一,因為它不依賴於利用漏洞或工具,它所仰賴的是人的信任。你可以透過始終保持警覺與懷疑、在分享資訊之前仔細檢查身分,以及避免對情緒或或緊急請求迅速採取行動的衝動來保護自己,你越了解運作方式就越難被騙。