.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
惡意行為者通常以用戶和管理員憑據為目標,因為黑客希望使用它們來訪問敏感數據。據Verizon 稱,在2021 年受到社會工程攻擊的數據中,憑據攻擊佔高達85%。為了竊取用戶憑據,黑客可以使用惡意軟件或各種密碼破解方法。
密碼策略薄弱和密碼破解缺乏保護是導致帳戶洩露的兩個最常見的漏洞。
在本文中,我們討論了密碼破解的危險,並提供了減少惡意身份驗證嘗試的最佳實踐。我們還探討了Fail2ban 服務如何幫助您保護對用戶帳戶的訪問,並提供有關如何配置Fail2ban 的分步指南,並分享我們自己在Viber 聊天機器人中配置Fail2ban 通知的經驗。
什麼是密碼破解?要訪問Web 應用程序,用戶需要在系統內創建配置文件。為此,用戶通常會創建一個登錄名和密碼作為保護帳戶訪問的憑據。根據應用程序類型,他們可能還必須提供其他數據,例如個人信息、消息和銀行賬戶。所有這些數據對威脅參與者都很有價值,他們可以嘗試使用各種密碼竊取方法從不同的應用程序訪問用戶配置文件。
在開發Web 應用程序時,必須牢記密碼被盜的風險並實施強大的安全機制來減輕這些風險。否則,如果攻擊者設法訪問用戶帳戶並暴露個人信息,Web 應用程序提供商可能會面臨客戶流失和聲譽受損等後果。如果用戶決定將案件告上法庭,他們也可能承擔經濟損失。
密碼破解的後果
竊取用戶數據的一種方法是密碼破解。
這種方法的主要目標是猜測應用程序或計算機服務的密碼。該技術本身並不一定是惡意的,它可以作為一種目標漏洞驗證技術用於安全測試。
密碼破解是從存儲在計算機系統中或通過網絡傳輸的密碼哈希中恢復密碼的過程。它通常在評估期間執行,以識別密碼較弱的帳戶。
——NIST SP 800-115信息安全測試和評估技術指南
在應用密碼破解技術時,黑客經常使用特殊的應用程序和工具來應用多種憑證變體,直到找到正確的配對。密碼破解應用程序每秒用於猜測密碼的憑據數量取決於攻擊者計算機的性能。此外,猜測用戶密碼所需的時間取決於密碼強度。
有多種密碼破解方法:
密碼破解攻擊的類型
字典攻擊是一種通過系統地輸入字典中的每個單詞作為密碼來訪問IT 資源的方法。黑客經常使用破解字典,其中存儲了常用的密碼和熟悉的單詞,例如不同語言的名稱和地點。此類字典還可以包括黑客收集和添加的先前被盜的用戶憑據。字典攻擊是猜測弱密碼的一種快速方法,但通常對於不常見的強密碼它們不會成功。
蠻力攻擊是一種簡單的試錯法,專注於生成所有可能的密碼,直到一定長度。黑客檢查所有密碼組合,包括所有字母、數字和特殊符號的組合,從可能的最小密碼長度開始。可能的組合數量取決於密碼的長度。理論上,這種破解方法的成功率是100%。這只是時間問題,因為短密碼可以在幾分鐘內猜出,而非常長且複雜的密碼可能需要數十年才能破解。
彩虹攻擊。大多數應用程序使用哈希對用戶密碼進行加密,並以加密形式存儲它們。黑客使用存儲預先計算的密碼哈希的彩虹表來破解數據庫中的密碼哈希。
網絡釣魚。通過網絡釣魚,攻擊者誘騙用戶單擊電子郵件附件或URL 鏈接,導致他們登錄到虛假版本的Web 應用程序並洩露他們的密碼。
反向蠻力。惡意行為者對多個用戶名使用通用密碼來訪問帳戶。
憑證填充。如果黑客知道被盜帳戶的用戶名和密碼,他們可以嘗試在該用戶可能擁有帳戶的多個系統中使用此組合。根據Security eMagazine的數據,53% 的人承認為不同的帳戶使用相同的密碼。
希望攻擊者無法破解您的Web 應用程序用戶的密碼不是一種選擇。因此,讓我們探討如何保護用戶數據免遭密碼破解並減輕帳戶洩露的網絡安全風險。
保護您的Web 應用程序免受密碼破解的7 種方法為了保護您的產品的用戶帳戶不被盜用,您需要實施一種綜合方法。下面,我們將討論緩解密碼破解的七種最必要的網絡安全實踐。
保護您的Web 應用程序免受密碼破解的7 種方法
1. 引入嚴格的密碼管理政策密碼越複雜,黑客破解它們的難度就越大。確保您的開發人員配置您的應用程序的密碼規則,以防止用戶創建弱憑據。
創建密碼規則列表時,請考慮研究頂級技術組織推薦和使用的內容。例如,您可以查看NIST 特別出版物800-63-3 數字身份指南中的密碼策略建議,並了解Microsoft 365和IBM Security Privileged Identity Manager等可靠產品推薦的密碼安全性。
密碼策略的常見最佳實踐包括:
马云惹不起马云密碼應包含特殊符號、數字以及小寫和大寫字母。
马云惹不起马云最小密碼長度應為八個符號。越長越好。
马云惹不起马云密碼應在指定時間段內過期和更改:每月一次、每三個月一次、每年兩次等。
马云惹不起马云您的應用程序應該有密碼歷史記錄,以便當用戶更改密碼時,它可以根據所有以前的密碼檢查新密碼。只有當它實際上是新密碼時,才應批准新密碼。
2.更改管理帳戶名稱避免使用“administrator”、“admin”或“root”等管理帳戶的明顯用戶名。此類用戶名很可能成為威脅行為者發起密碼破解攻擊時的第一個目標。
3.啟用多因素身份驗證使用多重身份驗證(MFA) 保護用戶對您的應用程序的訪問。此類身份驗證工具使用戶在登錄應用程序之前執行兩個或多個步驟。
第一步通常需要傳統的登錄名和密碼。在以下步驟中,可能會要求用戶輸入SMS 中的安全代碼、使用令牌、提供指紋等。
即使威脅者成功猜出憑據,MFA 也將成為訪問用戶帳戶的另一個障礙。
4.建立用戶活動監控考慮將用戶活動監控解決方案作為Web 應用程序安全性的一部分。此類解決方案會收集有關您的基礎架構內所有用戶活動的信息,因此如果發生可能是密碼破解攻擊跡象的異常用戶行為,您可以發現它。
用戶監控解決方案通常與人工智能驅動的訪問控制工具等複雜軟件一起使用,這些軟件可以分析收集的用戶活動數據、檢測異常情況,並阻止可疑的登錄嘗試或通知安全工程師潛在的威脅。
例如,此類解決方案可以保存設備詳細信息和用戶機器的IP 地址。如果有人嘗試從不同的IP 地址或設備登錄,訪問控制工具可以應用其他MFA 方法或限制訪問。
5. 將對服務器的遠程訪問限制為受信任的IP您的管理員和工程師帳戶也可能遭受密碼破解攻擊。因此,請確保僅對受信任的IP 地址啟用對服務器的遠程訪問。
例如,您可以提供對在日常工作中需要訪問服務器的工程師的IP 地址的訪問權限。為此,您可以使用防火牆(如果您使用雲提供商服務,則可以使用安全組)。
6.為工程師啟用安全密鑰需要遠程訪問服務器的工程師應該生成安全密鑰。例如,這些可能是用於SSH 訪問的SSH 密鑰。這樣,管理員可以安全地遠程連接到服務器或其他機器,而無需使用登錄名和密碼。 SSH 密鑰身份驗證可保護對服務器的訪問並加密客戶端和服務器之間傳輸的流量。
另一種無密碼訪問服務器的方法是使用硬件安全密鑰,如FIDO2或Google Titan。這些是可以用來代替常見身份驗證方法的USB 設備。
在這種情況下,應禁用使用登錄名和密碼訪問服務器。應僅允許密鑰持有者訪問。如果密碼不存在,則無法破解密碼。
7.使用密碼破解保護服務最後但並非最不重要的一點是,有一些特殊工具旨在保護服務免受密碼破解。
通常,此類工具會自動掃描登錄嘗試並阻止顯示惡意跡象的IP 地址,例如密碼失敗次數過多。這些工具中最受歡迎的是:
马云惹不起马云 SSH衛士
马云惹不起马云IPBan Pro
马云惹不起马云間諜日誌
马云惹不起马云Fail2ban
在Apriorit,我們更喜歡使用Fail2ban,因為它使用方便並且可以有效阻止潛在的惡意身份驗證嘗試。讓我們仔細看看Fail2ban 並討論如何在實踐中配置和使用它。
本文講述了保護您的Web 應用程序免受密碼破解的幾種方法,下文我們將介紹什麼是Fail2ban,以及它是如何工作的?