密碼安全，顧名思義，它指的是對于我們密碼的安全。密碼是我們生活中最常見的進行身份驗證的一個因素，一般我們在登錄系統或者是其他應用程序的時候，最先需要利用用戶名和密碼來驗證我們的身份，這稱爲單因素身份驗證。

除了密碼之外，我們還可以再進一步利用數字令牌、利用生物特征，比如虹膜掃描，視網膜掃描等來對你進行身份驗證，但密碼永遠是最常見的身份驗證的第一個因素。

密碼作爲最基本的一個身份驗證的因素，如果沒有被保護好，或者被別人猜測到，而網站又沒有做到足夠的防護，沒有檢測或者其他加固的安全性措施的話，那麽你的系統就完全暴露在攻擊者面前，再也沒有任何秘密可言。

常見密碼攻擊手段及其危害分析

危害分析

針對密碼攻擊的危害，以保險場景爲例，保險公司的一個普通客戶，突然某一天接到一個謊稱是保險公司的客服電話，聲稱保單查詢系統正在升級，需要提供登錄保單查詢系統的用戶名和密碼將系統升級。如果沒有足夠的安全防範的意識，透露了你的用戶名和密碼信息，那麽對方可以通過一系列社會工程學攻擊的手段，查詢並修改你的信息，甚至是改動賬戶資金分配。

如果你的密碼恰好是你最常用的一個密碼，騙子將有可能用你的密碼去撞庫，接下來你會收到源源不斷的外部保險推銷的電話和異常登錄的短信提示，造成嚴重的信息泄露。

再假設另外一個場景，比如保險公司有一個積分系統平台，客戶可以利用自己的保費去換取積分，並在積分商城兌換相應的禮品。這個積分平台首先會對注冊用戶開放，如果他的密碼設爲最常見的123456這樣的弱密碼，積分平台被黑客仿冒登錄後，把用戶的積分去兌換爲價值不菲的商品，並且郵寄到黑客指定的地址，造成了客戶的損失。另外一方面對公司而言，客戶會嚴重懷疑是保險公司系統有漏洞，導致了個人信息的泄露，會造成退保、投訴等業務損失。

所以由此看來，我們密碼的各種各樣的問題，會造成客戶損失、客戶投訴、業務損失和監管處罰。這樣的事情其實在我們生活中每天都在發生，最終受影響的都是公司的業務。

常見密碼攻擊手段

暴力破解

暴力破解是指把所有的數字、字母、包括特殊字符等等進行排列組合，把所有的組合嘗試一遍來猜測這是不是用戶正在使用的密碼。雖然看起來比較笨拙，但是卻是最有效的密碼攻擊的手段。

字典攻擊

字典攻擊比暴力破解稍微智能一點，根據受害人的個人信息，比如昵稱、別名、名字、生日郵箱等等，生成一個可能使用的密碼的字典。字典跑完，攻擊也就隨之結束，所以字典攻擊的效果取決于這個字典的精准程度。

密碼猜測

通過猜測常用的簡單密碼嘗試登錄賬戶，譬如123456或者生日等等。在這個過程中，你登陸失敗的痕迹也會記錄在審計日志裏面。

彩虹表攻擊

哈希稱爲HASH，是用來保證數據完整性的一種手段，本質是一個數學函數，能夠將不定長的字段經過哈希函數的運算都轉換爲固定長度的字段。 比如abc，或者ABC123，經過哈希之後，它會生成一段亂碼，而看不到明文。 但哈希函數有一個不可逆的特性，就算能夠得到它的哈希值，也無法逆推出原來的明文的那個值。 但黑客去對很多得明文去做哈希的運算，記錄在一個表格裏面，這個表就叫做彩虹表。

將來黑客去對一個公司的數據庫進行偷庫，他看到數據庫裏面的一個密碼字段，他可以到彩虹表裏面去找對應的明文值，那麽這就叫做彩虹表攻擊。 它特征就是提前生成散列，那麽當發現散列值的時候，用散列值比對出明文密碼，這也是一種密碼攻擊的手段。

社會工程學攻擊手段

社會工程學攻擊手段本身是不依賴于任何的技術手段。 但如果利用人性的一系列的心理學的一些弱點，再結合一些技術手段，比如說結合一些礦産腳本攻擊漏洞，結合調郵件等等的技術手段，它能發揮最大的一個攻擊的效率。 常見的通過社會工程學攻擊去獲得密碼的方式有哪些？像電話客服套取用戶密碼，肩窺、垃圾搜尋等方式去獲取密碼並嘗試登錄你的系統，能成功地進入公司的內網。

間諜軟件

一種惡意軟件，常伴隨著我們的木馬安裝，一旦電腦感染了木馬惡意程序，就可以偷窺電腦裏面傳輸的所有的機密的信息，包括你的密碼等等。

竊聽攻擊

一些內網嗅探工具，例如sniffer，可以用來抓取流量包，如果這個包裏面的傳輸的協議使用的是ftp或者http這些明文協議，那麽一旦被嗅探到，利用抓包工具裏面的協議分析儀功能，就可以查看包裏面的明文用戶名密碼等內容。

常見攻擊用到的工具

1.字典生成工具

Crunch、CUPP等

2.密碼破解工具

Hydra、Medusa、Aircrack-ng等

3.釣魚郵件，電話釣魚攻擊

只需要一個郵箱後者一部電話

常見密碼安全風險行爲

密碼是權限控制的第一道關卡，因爲很多用戶設置密碼過于簡單，登錄的系統也並沒有強制采用強密碼策略，同時也沒有采用其他的多因素身份驗證的方式，包括用戶的安全意識的不足，就容易遭受社會工程學攻擊。而且密碼被破解之後，缺乏異常登陸的報警，也沒有能夠及時地監測到密碼的異常登陸，就會導致攻擊頻發。

我們有哪些常見的密碼安全相關的風險的行爲？

1. 設置弱密碼，例如123456這樣的簡單密碼；
2. 輕易相信別人，不驗證別人身份就透露密碼和密保問題；
3. 密碼一旦設置不再修改，包括使用共享密碼；
4. 密碼主動外泄；
5. 肩窺等等……

我們威脅的主體就是常見的攻擊者，就是所謂的黑客，他會利用各種各樣的漏洞去發動攻擊，從而造成我們所謂的風險。

弱密碼本身就是一個漏洞，它會導致兩類風險：第一個是外部風險，也就是說如果由于各種各樣的原因造成客戶信息的泄露、客戶的投訴以及監管的懲罰，這些都是外部的風險；

第二個是內部風險，比如由于某種原因，後台的密碼被攻破，那麽黑客就可以去登錄我們的系統的後台，植入webshell，奪取服務器的最高權限。甚至還可以不動聲息地在我們的服務器上植入挖礦的軟件，包括利用服務器發送垃圾郵件，成爲發動拒絕服務攻擊的一些傀儡。如果由于密碼的漏洞被安裝了間諜軟件，那麽內網的所有數據都會被監聽，包括財務數據、開發的代碼等等，企業內部也沒有任何的秘密可言。

安全行爲規範建議

風險的常見處置方式

1. 風險的接受
2. 風險的規避
3. 風險的減小
4. 風險的轉移

風險控制的手段

1. 預防性控制
2. 檢測性控制
3. 修複性控制

按照功能性，又可以分爲：

1. 物理性控制
2. 邏輯性控制，又稱技術性控制
3. 管理性控制，又稱行政性控制

常見的安全行爲規範

1. 強密碼策略
2. 密碼複雜度
3. 密碼曆史
4. 密碼最長/最短使用時間

在設計系統的時候，除了做密碼的驗證，對密碼實施強密碼策略，對密碼進行驗證之外，還需要利用口令、令牌或者是生物驗證等其他的方式去實施雙因素或者多因素身份驗證，僅靠密碼身份驗證進行驗證是完全不夠的。

另外一方面，密碼找回的問題也不能過于簡單，而且還要不斷去驗證它的一個身份等等，這都是密碼設計的一個安全行爲的規範。

最後在內網實施産品碼策略，可以在預控服務器上去執行，通過組策略去實施密碼長度、複雜度等強密碼的一個策略，包括去實施賬戶地鎖定的阙值、持續時間等等。也可以用于我們的線上的系統，這些都是一些密碼相關的安全設計的規範，包括使用加密去存儲賬戶密碼，通過密碼學的一些手段去實施密碼的加密，不能以明文的形式存儲密碼。還要去定期的去做審計，及時去觸發報警等等。

了解更多網絡信息安全解決方案？

隨著互聯網、雲計算、人工智能、大數據、5Ｇ等技術的快速發展，提高了各行業用戶對信息化的安全意識及重視程度，從而加速了市場對「信息安全」的需求。

「2019企業信息安全展覽會」(InfoSec)以承載行業發展，精准地針對CIO、IT主管、運維主管、系統集成商及不同IT領域的夥伴朋友們提供一站式信息安全解決方案平台，更與知名品牌展覽會「CDCE國際數據中心展」和「EP China國際電力展」同期舉辦，強強聯合發揮協同效應!

主辦方之一雅式集團于1978年在香港創立，總部設于香港，並于北京、上海、深圳及新加坡設有辦事處，員工超過300名。雅式已被業界公認爲中國展覽業的佼佼者，過去40年積極扶持中國多個産業的發展。

「InfoSec企業網絡信息安全展覽會」于上海、北京兩地輪流舉辦，希望與您相約2019年11月6-8日，上海見！網站: www.infosec-expo.com