六种最常见的密码攻击类型

部分最常见的密码攻击类型包括密码破解、密码喷洒、字典攻击、凭证填充、暴力攻击和彩虹表攻击。 您的密码习惯越好，就越不容易受到密码攻击。 Keeper 的密码管理报告发现，仅 25% 的受访者为每个帐户使用唯一的强密码，这意味着 75% 受访者的帐户因使用弱密码而面临遭到破解的风险。

继续阅读，了解六种最常见的密码攻击类型，它们为何危险，以及您可以采取哪些措施来保护自己免遭密码相关风险。

密码破解是指网络犯罪分子使用程序和工具来获取对在线帐户未经授权的访问。 虽然密码破解技术有几种类型，但它们都有共同的目标，即出于恶意目的入侵用户的帐户。 人工智能 (AI) 越来越先进，网络犯罪分子正在利用 AI 发挥其优势，因为 AI 工具让破解密码变得更容易。 借助 AI，网络犯罪分子破解密码的速度大幅提高。

暴力攻击是指网络犯罪分子利用软件，试图通过试错猜中登录凭证。 暴力攻击软件的工作原理是输入几个不同的凭证组合，直到猜中。 虽然通过试错试图猜中密码的方法听起来效率低下，但网络犯罪分子使用的软件可以在短时间内处理数万亿个密码组合。

密码喷洒（也叫作密码喷洒攻击）是指网络犯罪分子利用常用密码列表，试图访问一个域中的多个帐户。 这些列表中包含许多人使用的弱密码，如 123456 或 password。 网络犯罪分子可以利用密码喷洒工具输入这些列表，并使用该工具一次破解多个密码。

字典攻击是指使用常见字典单词和短语来入侵帐户的密码攻击。 在字典攻击中，网络犯罪分子使用包含常用单词和短语的单词表猜测密码。 然后，它们使用密码破解程序输入密码组合，试图破解密码。

凭证填充是指利用许多人对多个帐户重复使用密码的习惯进行的密码攻击。 在凭证填充攻击中，网络犯罪分子利用一组凭证，试图一次入侵多个帐户。 网络犯罪分子通常会利用公共数据泄漏事件中泄漏的凭证。

彩虹表攻击是指网络犯罪分子利用特殊表格，试图破解密码哈希。 密码哈希是指将密码更改为不可读的字符串。 如果您的帐户所在公司对用户密码进行了加密，这意味着它们仅存储密码哈希。 因此，如果公司发生数据泄露，网络犯罪分子就无法得知您的帐户密码。

但是，哈希密码仍然易受彩虹表攻击的影响。 在彩虹表攻击中，网络犯罪分子会收集一个潜在密码列表，该列表通常由常用密码组合组成。 然后，它们使用哈希函数将每个密码转换为密码哈希，再将明文密码和密码哈希都存储在彩虹表中。 随之，密码哈希会进一步减少，形成哈希链，用来尝试找到匹配密码。 发现相应的哈希值后，网络犯罪分子就知道该使用哪个密码来入侵用户的在线帐户了。

密码攻击之所以十分危险，是因为它们会导致帐户泄漏或帐户被接管，进而导致身份信息失窃，并遭受经济损失。 帐户接管是指未经授权的个人访问您的一个或多个在线帐户，并通过更改密码将您锁定在帐户之外。 由于您的密码已被更改，您可能需要一段时间才能重新访问您的帐户，或在某些情况下，您可能根本无法重新访问您的帐户。

在未经授权的个人访问您的帐户期间，他们可以收集您的敏感信息，并利用此类信息来窃取您的身份信息。 身份信息失窃很难挽回，而且会造成严重的经济损失。

以下是您可以保护自己免遭密码攻击的几种方式。

通行密钥是指一种全新的身份验证技术，无需输入密码即可登录在线帐户。 在创建密码时，通行密钥会自动在设备、浏览器或密码管理器中生成，无需亲自创建密码。 使用通行密钥，您再也不必担心它们会像传统密码一样是低强度或重复使用。 默认情况下，通行密钥的强度很高，不能像密码那样容易泄露，因此是登录帐户时进行身份验证的最安全方式之一。

通行密钥仍然是新生事物，因此目前只有某些网站和应用程序支持它们。 密码很容易受到攻击，与其使用密码，不如选择在您开设有帐户的任何支持使用通行密钥的网站或应用程序中使用通行密钥。 有关目前支持使用通行密钥的网站和应用程序，请参见我们的通行密钥目录。

并非所有网站都支持通行密钥，因此您仍然需要为大多数在线帐户创建强密码。 在创建密码时，请确保密码遵循最佳实践，以确保网络犯罪分子不会轻松猜中或破解密码。 我们建议在创建密码时使用密码生成器，以便保证它们始终是唯一的强密码。

如果您不知道如何记住多个唯一的强密码，请考虑使用密码管理器。 密码管理器可帮助用户为每个在线帐户生成强密码，并将其与其他身份验证方式（如通行密钥和多因素身份验证码）一起安全地存储起来。 您需要记住的唯一密码是您的主密码。

多因素身份验证 (MFA) 是您可以在大多数在线帐户上启用的一种安全措施。 启用 MFA 后，除了输入用户名和密码外，您还必须提供一个或多个额外身份验证因素，才能登录帐户。 即使网络犯罪分子能够破解您的密码，他们也无法入侵您的在线帐户，因为他们无法验证您的身份。

社交工程是指网络犯罪分子使用心理操纵技术，让受害者透露敏感信息。 网络钓鱼是最常见的社交工程攻击之一。网络钓鱼是指网络犯罪分子通过假装成受害者认识的人，如他们设有帐户的公司或家庭成员，来诱骗受害者透露敏感信息。

社交工程攻击通常试图让受害者透露其在线帐户的登录凭证。 如果您不谨慎应对社交工程攻击，您可能会轻易透露登录凭证，面临帐户被盗的风险。 避免社交工程攻击的最佳方式之一是绝不向任何人透露个人信息，尤其是在线账户的登录信息。 此外，您还应该避免点击任何来路不明的链接，防止自己下载恶意软件，或向网络钓鱼网站输入登录凭证或其他敏感信息。

在线上帐户数量众多的情况下，为每个帐户创建唯一的强密码，同时启用 MFA（只要适用），可能会让您不知所措。 确保每个在线帐户的安全未必很难，像 Keeper® 这样的密码管理器可以保护您的帐户免受常见密码攻击的威胁。

借助 Keeper，您可以管理通行密钥、密码，甚至是 2FA 码，这样您就可以保护您的在线帐户，而无需担心密码较弱或重复使用密码。 立即开启 30 天 Keeper 免费试用之旅，防止您的帐户因密码攻击而被入侵。