一、弱口令风险
-
简单口令容易被猜出来 很多人用 123456、生日、名字这样的简单密码。攻击者用字典攻击或社会工程手段就能破解。比如有公司用“admin 加数字”当密码,结果客户数据被黑客偷走。
-
没改默认密码 设备和系统的默认密码(比如 tomcat:tomcat)如果没改,黑客可以直接用这些密码登录。比如有物流公司没改监控系统的默认密码,摄像头被黑客控制用来收集情报。
二、口令破解技术
-
暴力破解 黑客用电脑试遍所有可能的密码组合。密码越短(比如 6 位以下)越容易被破解。现在黑客能用很多电脑一起工作,破解速度更快。
-
字典攻击 黑客用现成的密码库(里面有几万到几百万个常用密码)快速匹配。他们还会收集目标的个人信息做专用密码库。比如有明星的邮箱密码被黑客用宠物名字破解。
三、网络传输与存储问题
-
密码在网络上被偷看 用 FTP、Telnet 这些不加密的协议传密码时,黑客能直接看到密码。比如 2014 年 iCloud 照片泄露事件,就是因为密码传输没加密。
-
密码存得不安全
- 用弱算法存密码:有的系统用 MD5 这类容易破解的算法存密码,黑客用彩虹表就能快速破解。
- 文件泄露:密码如果明文存在配置文件或数据库备份里,一旦泄露(比如代码传到 GitHub),黑客就能直接拿到密码。
四、人为错误和物理攻击
-
骗用户说出密码 黑客假装成 IT 人员发钓鱼邮件,骗用户主动交密码。比如有公司员工被假冒的客服骗走密码。
-
直接偷密码
- 偷看输入:在公共场所偷看别人输密码。
- 翻垃圾桶:从没撕掉的废纸里找密码记录。
五、系统设置问题
-
多个地方用同一个密码 如果用一个密码注册很多网站,只要一个网站被黑,其他账号都会被攻击。
-
不限制登录次数 如果系统不锁定输错密码的账号,黑客就能一直试密码,直到试对为止。