蠻力攻擊是什麼?您所需要知道的一切
「蠻力攻擊」聽起來像是一個軍事術語,其實不然。事實上,這是一種老舊又不太複雜的攻擊方式,駭客至今仍在使用它成功進行攻擊。然而,蠻力攻擊是什麼?您又要如何保護自己抵禦蠻力攻擊?繼續閱讀,了解關於蠻力攻擊的所有資訊。
內容
蠻力攻擊是什麼?
蠻力攻擊是一種流行的破解方法,據統計,蠻力攻擊佔已確認的安全漏洞的 5%。蠻力攻擊涉及「猜出」使用者名稱和密碼,以便能未經授權存取系統。蠻力攻擊是一種簡單的攻擊方法,並且有很高的成功率。
一些攻擊者會使用應用程式和腳本作為蠻力攻擊的工具。這些工具會嘗試無數種密碼組合,以便略過身份驗證流程。在其他情況下,攻擊者會試圖透過搜尋正確的工作時段 ID,來存取網頁應用程式。攻擊者的動機可能包含竊取資訊、利用惡意軟體感染網站或中斷服務。
雖然有些攻擊者仍在手動執行蠻力攻擊,但如今幾乎所有的蠻力攻擊都是由機器人執行的。攻擊者擁有透過安全漏洞或是暗網所取得的常用憑證,或真實使用者憑證清單。機器人會系統性地攻擊網站,嘗試這些憑證清單,並在取得存取權限後通知攻擊者。
駭客為何使用蠻力攻擊?
進行蠻力攻擊需要足夠的耐心,因為攻擊者可能需要數月甚至是數年的時間才能成功破解密碼或是加密金鑰。然而,潛在收益非常驚人。以下是駭客使用蠻力攻擊的動機。
利用廣告或活動資料
駭客可能會對一個或多個網站發動蠻力攻擊,以賺取廣告佣金。常見的方法包含:
- 在熱門網站上投放垃圾廣告,每次點擊或瀏覽廣告都能讓攻擊者牟利。
- 將合法網站的流量重新路由到非法委託的廣告網站。
- 使用間諜軟體等惡意軟體感染網站和網站的訪客,追蹤其活動。然後在未經使用者同意的情況下,將收集到的資料出售給廣告商。
竊取個人資料
駭入使用者的個人帳戶可以為攻擊者提供一個資料寶庫,從財務資料和銀行帳戶到機密醫療資訊都可能包含在內。透過存取帳戶,攻擊者可以偽造某人的身份、竊取錢財、向第三方出售憑證,或利用這些資訊發動更大規模的攻擊。
只要攻擊者存取企業組織的敏感資料庫,個人資料和登入憑證也可能透過企業資料外洩而被盜。
傳播惡意軟體
蠻力攻擊往往並非針對個人。駭客可能只是想製造混亂,展示其惡意技巧。他們可能會透過電子郵件或簡訊服務(SMS)傳播惡意軟體,將惡意軟體隱藏在偽裝成合法網站的網站中,或是將網站訪客重新導向到惡意網站。
利用惡意軟體感染使用者的電腦,攻擊者就可以進入已連線的系統和網路,對組織發動更大規模的網路攻擊。
劫持系統進行惡意活動
蠻力攻擊可以在惡意份子使用多台裝置發起更大規模的攻擊(亦稱殭屍網路)中發揮關鍵作用。這通常是一種分散式阻斷服務(DDoS)攻擊,目的是削弱目標的安全防禦和系統。
破壞公司或網站的聲譽
蠻力攻擊通常是為了竊取企業組織的資料而發起的,這不僅會讓企業付出高昂的經濟代價,還會導致其聲譽毀損。網站也可能成為攻擊的目標,讓其充斥著淫穢或是具攻擊性的文字和圖片,進而詆毀網站的聲譽,導致網站被迫關閉。
蠻力攻擊有哪些類型?
目前有各種類型的蠻力攻擊方法,可讓攻擊者取得未經授權的存取權限,並竊取使用者資料。
簡單蠻力攻擊
當駭客試圖在不使用任何軟體的情況下,手動猜測使用者的登入憑證時,就是簡單蠻力攻擊。這通常是透過標準密碼組合或個人辨識碼(PIN)代碼所實現的。
這類攻擊之所以簡單就能實行,是因為許多人仍在使用如「password123」或「1234」等若密碼,或有著糟糕的密碼習慣,例如在多個網站上使用相同的密碼。駭客也可以猜出密碼,他們只需作最低限度的偵查工作就可以破解個人的潛在密碼,比如受害者最喜歡的球隊名字。
反向蠻力攻擊
反向蠻力攻擊係指攻擊者使用已知的密碼開始攻擊,該密碼通常是藉由網路漏洞所發現的。駭客使用該密碼,使用數百萬使用者名稱清單搜尋匹配的登入憑證。攻擊者還可以使用常用的若密碼,如「password123」,在使用者名稱資料庫中搜尋匹配的使用者名稱。
字典攻擊
字典攻擊是蠻力攻擊的一種基本形式,攻擊者會選擇一個目標,然後根據該目標的使用者名稱測試可能的密碼。技術上來說,此種攻擊方法本身並不屬於蠻力攻擊,但其在不法份子破解密碼的過程中扮演著重要角色。
「字典攻擊」這一名稱的由來為駭客翻閱字典,並使用特殊符號和數字修改字詞。與更新且更有效的攻擊方法相比,此種類型的攻擊通常耗時且成功率較低。
憑證填充攻擊
憑證填充利用的是使用者不良的密碼習慣。攻擊者收集他們竊取的使用者名稱和密碼組合,然後在其他網站上進行測試,看看是否可以存取其他使用者帳戶。如果使用者使用相同的名稱和密碼組合,或在各種帳戶和社群媒體設定檔中重複使用密碼,此種方法就會成功。
混合蠻力攻擊
混合蠻力攻擊係指駭客將字典攻擊方法與簡單蠻力攻擊相結合。首先,駭客要知道某個使用者名稱,然後使用字典攻擊和簡單蠻力攻擊方法找出帳戶登入組合。
攻擊者從潛在的字詞清單開始,然後嘗試使用符號、字母和數字組合來找到正確的密碼。透過這種方法,駭客可以找出將常用或流行字詞與數字、年份或隨機符號組合在一起的密碼,例如「SanDiego123」或「Rover2023」。
蠻力攻擊的運作原理究竟為何?
假設您的密碼只有兩位數。這表示駭客只要嘗試 100 種可能的密碼組合。他們可以手動輸入這些可能的密碼,這可能會很耗時,但並非不可能。然而,現代網站要求更複雜的密碼——至少 8 個字元,包含大小寫字母。這樣的密碼有數百萬種可能的組合,要想隨機「猜出」幾乎是不可能的。
這就是為什麼駭客會使用專門的軟體,其每秒可嘗試數千種密碼組合,如果您的密碼只包含幾個字元,這類軟體幾秒鐘就能猜出答案。但是,如果您選擇的是長達 16 字元的隨機密碼,軟體可能需要好幾年才能猜中。
如今,大多數網站還添加了額外的安全措施,如密碼雜湊和加密,來保護您的資訊。這意味著您的密碼永遠不會以明文形式保存。因此,即使密碼真的外洩了,駭客還得先經歷如天文數字般的無數嘗試,才能猜出加密金鑰並取得您的密碼。
駭客使用什麼工具進行蠻力攻擊?
猜測使用者的電子郵件或社群媒體網站密碼是一個耗時的過程,尤其是在帳戶具有高強度密碼的情況下。為了簡化此一過程,駭客開發了軟體和工具來協助他們破解密碼。
蠻力攻擊工具包含密碼破解應用程式,這些應用程式可以破解一個人極難自行破解的使用者名稱和密碼組合。常用的蠻力攻擊工具包含:
- Aircrack-ng:一套評估 Wi-Fi 網路的安全工具,用於監測和導出資料,並透過偽造存取點和資料包植入等方法攻擊組織。
- John the Ripper:一款開源密碼還原工具,可支援數百種密碼和雜湊類型,包含 macOS、Unix 和 Windows、資料庫伺服器、網頁應用程式、網路流量、加密私鑰和文件檔案的使用者密碼。
這類軟體可以快速猜出被視為是弱密碼的組合,並破解多種電腦通訊協定、無線數據機和加密儲存裝置。
蠻力攻擊還需要大量的計算能力。為了應對此種情況,駭客開發了簡化此過程的硬體解決方案,例如,將裝置的中央處理器(CPU)和圖形處理器(GPU)結合起來。增加 GPU 的計算核心使系統能夠同時處理多項任務,駭客破解密碼的速度也會大幅增快。
如何保護自己免於蠻力攻擊?
密碼的安全性在很大程度上取決於網站管理員儲存密碼的方式,或是密碼易受攻擊和外洩的程度。網頁管理員也可透過在嘗試失敗一定次數後鎖定帳戶、加密密碼、降低登入嘗試率或使用加鹽雜湊演算法(如 bcrypt)等方法來提高駭客攻擊的難度。遺憾的是,您無法控制您所使用的網站的網路安全,但您可以採取一些措施來保護自己的帳戶。
- 使用雙重要素驗證。如果無法存取裝置,惡意份子就無法進入您的帳戶。
- 增加密碼的長度和複雜度,同時使用大小寫字母和數字,甚至是符號。如果不確定要如何建立高強度密碼,可參考這些提示,或前往 NordPass 隨機密碼產生器。
- 定期變更密碼。
- 不要在不同帳戶重複使用相同的密碼,因為這會使您容易受到憑證回收攻擊。
- 使用 NordPass 等密碼管理器確保密碼的安全。其可將密碼保存在加密庫中,並為您提供自動填入等額外功能。您就不再需要擔心或是另外記住自己的密碼!