> 网络密码是一种用来混淆的技术,使用者希望将正常的(可识别的)信息转变为无法识别的信息。但这种无法识别的信息部分是可以再加工并恢复和破解的。密码在中文里是“口令”(password)的通称。 > > 密码是按特定法则编成,用以对通信双方的信息进行明密变换的符号。 > > 换而言之,密码是隐蔽了真实内容的符号序列。就是把用公开的、标准的信息编码表示的信息通过一种变换手段,将其变为除通信双方以外其他人所不能读懂的信息编码,这种独特的信息编码就是密码。 - 密码的概念已经存在了几个世纪,密码被引入计算方式的时间比我们大多数人记忆的要早。密码持久流行的一个原因是人们本能地知道密码是如何工作的。但也有一个问题。密码是许多人数字生活的致命弱点,尤其是当我们生活在一个普通人要记住100 个登录凭据的时代,而且这个数字近年来才呈上升趋势。难怪许多人偷工减料,安全受到影响。 - 鉴于密码通常是网络犯罪分子与您的个人和财务数据之间的唯一障碍,骗子非常渴望窃取或破解这些登录信息。我们必须至少付出同样多的努力来保护我们的在线帐户。 ## 黑客可以用我的密码做什么? - 密码是您数字世界的虚拟钥匙——提供对您的网上银行、电子邮件和社交媒体服务、我们的Netflix和 Uber 帐户以及托管在我们云存储中的所有数据的访问权限。通过有效登录,黑客可以: 1. 窃取您的个人身份信息并将其出售给犯罪分子。 2. 出售对帐户本身的访问权限。暗网犯罪网站在这些登录中进行了活跃的交易。肆无忌惮的买家可以利用访问权限获得从免费乘坐出租车和视频流到从被劫持的 Air Miles 账户中获得折扣旅行的一切。 3. 使用密码解锁您使用相同密码的其他帐户。 4. 对你的网络网站、数据库、软件后台进行撞库登录以达到入侵修改后台的能力。 ## 黑客如何窃取密码? **熟悉这些典型的网络犯罪技术,您将能够更好地管理威胁:** ### 网络钓鱼和社会工程学 - 人类是易犯错误和易受暗示的生物。我们在仓促时也容易做出错误的决定。网络犯罪分子通过社会工程学利用这些弱点,这是一种心理骗局,旨在让我们做一些我们不应该做的事情。 - 网络钓鱼可能是最著名的例子。在这里,黑客伪装成合法实体:如朋友、家人和与您有业务往来的公司等。 - 您收到的电子邮件或文本看起来很真实,但包含恶意链接或附件,如果点击该链接或附件,将下载恶意软件或带您到一个页面来填写您的个​​人详细信息。 - 幸运的是,正如我们在这里解释的那样,有很多方法可以发现网络钓鱼攻击的警告信号。 诈骗者甚至使用电话直接从受害者那里获取登录信息和其他个人信息,通常伪装成技术支持工程师。 **这被描述为“语音钓鱼”(基于语音的网络钓鱼)。** ### 恶意软件 另一种获取密码的流行方法是通过恶意软件: - 网络钓鱼电子邮件是此类攻击的主要载体,尽管您可能会通过单击在线恶意广告(恶意广告),甚至通过访问受感染的网站(驱动下载)成为受害者。 - 正如 ESET 研究人员Lukas Stefanko多次证明的那样,恶意软件甚至可以隐藏在看起来合法的移动应用程序中,通常在第三方应用程序商店中可以找到。 - 那里有各种各样的信息窃取恶意软件,但其中一些最常见的旨在记录您的击键或截取您的设备的屏幕截图并将其发送回攻击者。 ### 爆破 > 到2020 年,普通人必须管理的平均密码数量预计同比增长25%。因此,我们中的许多人使用易于记忆(和猜测)的密码,并在多个站点中重复使用它们。但是,这可以为所谓的蛮力技术打开大门。 最常见的一种是凭证填充: - 在这里,攻击者将大量先前被破坏的用户名/密码组合输入自动化软件。 - 然后,该工具会在大量站点上尝试这些,希望找到匹配项。通过这种方式,黑客只需一个密码即可解锁您的多个帐户。 - 去年估计有193次十亿这样的尝试在全球范围,根据一项估计。最近一个值得注意的受害者是加拿大政府。 ### 猜解 尽管黑客可以使用自动化工具来暴力破解您的密码,但有时甚至不需要这些工具:即使是简单的猜测——与暴力攻击中使用的更系统的方法相反——也可以完成这项工作。 - 在最常见的密码, 2020年是“123456”,其次是“123456789”。排在第四位的是唯一的“密码”。 ### 肩窥 > 在计算机安全领域,肩窥(shoulder surfing)指(站在别人身后)越过肩膀探看别人操作获取信息的做法。 - 到目前为止,我们探索的所有密码泄露途径都是虚拟的,然而,随着封锁的放松和许多员工开始返回办公室,值得记住的是,一些久经考验的窃听技术也会带来风险。 - 这不是肩窥仍然存在风险的唯一原因,ESET 的杰克摩尔最近进行了一项实验,以了解使用这种简单的技术破解某人的 Snapchat是多么容易。 一个更高科技的版本,被称为涉及 Wi-Fi 窃听的“中间人”攻击,可以使坐在公共 Wi-Fi 连接上的黑客在您连接到连接时输入密码时窥探您的密码。 同一个枢纽。这两种技术已经存在多年,但这并不意味着它们仍然不是威胁。 ## 如何保护您的登录凭据 你可以做很多事情来阻止这些技术——通过添加第二种形式的身份验证,更有效地管理你的密码,或者首先采取措施阻止盗窃。考虑以下: 1. 仅在您的所有在线账户(尤其是您的银行、电子邮件和社交媒体账户)上使用强且唯一的密码或密码短语 2. 避免跨多个帐户重复使用您的登录凭据并犯其他常见的密码错误 3. 在您的所有帐户上开启双重身份验证(2FA) 4. 使用密码管理器,它将为每个站点和帐户存储强大、唯一的密码,使登录变得简单和安全 5. 如果提供商告诉您您的数据可能已被泄露,请立即更改您的密码 6. 仅使用 HTTPS 网站登录 7. 不要点击未经请求的电子邮件中的链接或打开附件 8. 仅从官方应用商店下载应用 9. 从信誉良好的供应商处为您的所有设备投资安全软件 10. 确保所有操作系统和应用程序都是最新版本 11. 当心公共场所的肩窥 如果您使用公共 Wi-Fi,请不要登录帐户;如果您必须使用这样的网络,请使用 VPN **十多年来,人们一直在预测密码的消亡。但是密码替代品仍然经常难以替换密码本身,这意味着用户必须自己动手。保持警惕并确保您的登录数据安全。**