黑客都会再次破解吗？如果我们继续重新使用密码 - Malwarebytes Labs |必威平台APP必威官方登录备用必威平台APP必威官方登录备用Malwarebytes Labs.

发布：2019年3月21日通过Kacy Zurkus.
最近更新时间：2019年11月21日

企业存在密码问题，这让黑客的工作变得容易得多。从凭据填料为了蛮力和密码喷涂攻击，现代黑客不必做得多，以便妥协内部公司网络。相反，它们使用弱，被盗或以其他方式受到损坏的凭据登录。

以Citrix最近的案例为例。美国联邦调查局(FBI)通知思杰，一个民族国家的黑客可能进入了公司的内部网络，这一消息是在思杰被迫重置密码的几个月后传出的，原因是该公司遭到了伪造证书的攻击。

虽然尚未得到证实，但美国联邦调查局表示，黑客可能使用了一种名为“密码喷洒”(password spray)的策略，即利用薄弱密码的技术。一旦他们在限制访问的情况下获得立足点，他们就会设法绕过额外的安全层。”思杰在3月6日的一份报告中写道博客．

而最近的数据隐私民意调查Malwarebytes的必威平台APP调查发现，在4000名跨代受访者中，绝大多数人(96%)表示网络隐私至关重要，近三分之一(29%)的人承认在多个账户中重复使用密码。

调查后调查显示，密码是企业安全的祸根。在一个最近的调查根据Centrify的调查，52%的受访者表示他们的组织没有密码库，五分之一的人仍然没有使用MFA用于管理特权访问权限。

Centrify的网络安全专员Torsten George说:“这对现代黑客来说太容易了。”“组织可以通过采用零信任特权(Zero Trust Privilege)方法来确保现代威胁环境的安全，并在验证谁在请求访问、请求的上下文和访问环境的风险的基础上授予最低权限访问，从而显著加强其安全姿态。”

密码重用的问题是，为了让攻击者在您的网络中获得立足点，恶意演员不必使用高级策略。“在许多情况下，第一阶段攻击是简单的矢量，如密码喷涂和凭证填充，可以用适当的密码卫生避免，”罗克尔威胁的威胁研究负责人称，“据丹尼尔史密斯称。

当网络犯罪分子正在进行密码喷射攻击时，它们通常扫描组织的基础架构，用于外部面向外部的应用程序和网络服务，例如Webmail，SSO和VPN网关。

由于这些接口通常具有严格的超时特性，恶意行为者将选择密码喷洒而不是暴力破解攻击，这允许他们避免超时或触发向管理员发出警报。

“密码喷涂是一种技术，它涉及使用的一组关于UNIDESK1，测试，C1Trix32或NSROOT的有限密码，这些密码在CHREC阶段中发现并用于已知用户名的尝试登录时，”Smith表示。“一旦用户受到损害，该演员将采用先进的技术来部署和扩展恶意软件以获得网络中的持久性。”

根据校样点利用Internet消息访问协议（IMAP），网络犯罪分子也通过利用Internet消息访问协议（IMAP）来定位基于云的账户。一个棘手的悬挂搭配IMAP是，两个因素认证本身无法工作，因此普遍审核和合规性的贾斯汀·杰特表示，它是自动绕过的。

“因为密码喷涂攻击不会生成警报或锁定用户帐户，但黑客可以连续尝试登录，直到它们成功。一旦他们成功，他们可能会尝试使用他们为其他目的找到的凭据，“杰特说。

事实是，对黑客来说，猜测密码比与技术对抗要容易得多。如果我们诚实地说，考虑到密码重用的普遍问题，攻击者很有可能已经在您的网络中了。因为密码是用来验证用户身份的，所以任何关于增强密码安全性的讨论都必须从更大的角度来考虑验证策略。

一方面，密码的长度和复杂性对创建强大的密码至关重要，但让每个密码独一无二也有其挑战。密码管理已经证明可以解决记住多个帐户的凭证的问题，这些工具确实是整体密码安全策略的重要组成部分。

“密码填充的普及力，蛮力和其他类似攻击表明，密码长度不再是威慑力，”Acceptto的主要安全架构师Fausto Oliveira说。

相反，Oliveira表示，在特权员工，客户端和消费者账户中能够持续认证是一种先发制人方法，可以阻止攻击者获得对敏感信息的访问 - 即使它们用蛮力攻击违反系统。

“它不是关于一个简单的123456，显而易见的p @ 55word密码与一个复杂的密码，但识别出所有密码都受到损害。这包括您尚未创建的那些密码，您尚不知道。“

密码仍然是一个问题，因为它们的创建和维护在很大程度上是用户的责任。没有技术可以改变人类的行为，这只会加剧密码重用和整体上糟糕的密码卫生问题。

希望收紧密码安全性的组织需要在比信任用户更加可行的解决方案中严重看，这可能包括完全消除密码。