为什么密码应该成为历史
Posted: Sun Mar 23, 2025 4:35 am
在 ilionx,我们每天都会看到黑客如何轻易滥用弱密码。
我们的道德黑客团队定期执行 渗透测试和红队任务,我们一次又一次地发现错误的密码可以在不被发现的情况下提供对组织的访问权限。黑客使用密码喷洒等技术来访问具有可预测密码的系统。但这并不是唯一的问题:即使是多因素身份验证(MFA)等常用的安全措施在某些情况下也被证明存在漏洞。是时候和密码说再见了,我会在这篇博客中解释为什么。
黑客如何利用弱密码
在安全测试期间,我们经常执行密码喷洒攻击:这是一种获取有效登录详细信息的简单但有效的方法。然后,我们使用容易猜到的密码测试大量账户,例如“Welkom01”、“Zomer2024”或与组织名称的组合。在许 美国号码数据 多情况下,我们只需几分钟即可访问。原因是什么?许多账户都陷入了简单且重复使用的密码模式,默认密码不会改变,因此我们无法被发现。
弱密码对组织的影响
当我们使用弱密码获得访问权限时,这只是开始。通常我们可以通过网络进一步提升权限并获取敏感信息。弱密码可能会带来严重后果。想想机密数据被盗或勒索软件攻击后赎金要求所造成的经济损失。然而,最大的威胁在于,在很多情况下这些袭击是可以预防的。
为什么强密码和 MFA 还不够
您可能认为强密码甚至 MFA 就足以解决问题,但事实并非如此。可以使用中间人攻击 (AitM) 来拦截 MFA。在 AitM 攻击中,员工与他们登录的网站之间的流量被拦截,即使启用了 MFA,黑客也可以获取身份验证信息。
例如,攻击者创建一个类似于原始登录页面的网站。一旦员工尝试登录,黑客就会将包括 MFA 令牌在内的凭据转发到真实网站。只要令牌有效,黑客就可以获得访问权限。
我们的道德黑客团队定期执行 渗透测试和红队任务,我们一次又一次地发现错误的密码可以在不被发现的情况下提供对组织的访问权限。黑客使用密码喷洒等技术来访问具有可预测密码的系统。但这并不是唯一的问题:即使是多因素身份验证(MFA)等常用的安全措施在某些情况下也被证明存在漏洞。是时候和密码说再见了,我会在这篇博客中解释为什么。
黑客如何利用弱密码
在安全测试期间,我们经常执行密码喷洒攻击:这是一种获取有效登录详细信息的简单但有效的方法。然后,我们使用容易猜到的密码测试大量账户,例如“Welkom01”、“Zomer2024”或与组织名称的组合。在许 美国号码数据 多情况下,我们只需几分钟即可访问。原因是什么?许多账户都陷入了简单且重复使用的密码模式,默认密码不会改变,因此我们无法被发现。
弱密码对组织的影响
当我们使用弱密码获得访问权限时,这只是开始。通常我们可以通过网络进一步提升权限并获取敏感信息。弱密码可能会带来严重后果。想想机密数据被盗或勒索软件攻击后赎金要求所造成的经济损失。然而,最大的威胁在于,在很多情况下这些袭击是可以预防的。
为什么强密码和 MFA 还不够
您可能认为强密码甚至 MFA 就足以解决问题,但事实并非如此。可以使用中间人攻击 (AitM) 来拦截 MFA。在 AitM 攻击中,员工与他们登录的网站之间的流量被拦截,即使启用了 MFA,黑客也可以获取身份验证信息。
例如,攻击者创建一个类似于原始登录页面的网站。一旦员工尝试登录,黑客就会将包括 MFA 令牌在内的凭据转发到真实网站。只要令牌有效,黑客就可以获得访问权限。