如何加强您的凭证以抵御暴力破解攻击?

在深入主题之前,让我们首先了解暴力破解的概念。暴力破解攻击涉及通过反复尝试来猜测登录信息、加密密钥或查找隐藏的网页。这种攻击的前提是,如果您反复猜测密码,最终会猜对。攻击者试图猜测电子邮件/用户名和密码,希望强行访问用户帐户。目标是利用受损帐户发起大规模攻击,窃取重要数据,使系统瘫痪,或者同时做到这三点。

编写执行此类攻击的代码不需要多少独创性或知识,甚至还有容易获得的自动化系统,每秒可以提交数千次密码尝试。黑客尝试所有可能的组合,希望能猜对。这些攻击是使用“暴力破解”进行的,这意味着他们试图通过蛮力“强行”进入您的私人帐户。虽然这是一种较旧的攻击方法,但它仍然在黑客中非常有效且流行。因为破解密码可能需要几秒钟到几年不等,这取决于其长度和复杂性。

如何加强凭证?

您可以使用以下方法加强您的凭证以抵御暴力破解攻击:

使用WAF

Web应用防火墙 (WAF) 可以保护您的系统免受试图获取未授权访问的暴力破解攻击。它通常会限制源在特定时间段内对URL空间进行查询的次数。WAF可以防止耗尽服务器资源的拒绝服务 (DOS) 攻击,并阻止探测您的计算机网络漏洞的漏洞扫描程序以及试图窃取会话令牌的暴力破解攻击。

使用验证码

CAPTCHA代表“全自动区分计算机和人类的图灵测试”。CAPTCHA 是对自动化计算机系统来说难以完成但对人来说很容易完成的挑战,例如识别图案或点击网页上的特定位置。机器人和垃圾邮件通常使用网站。

强大的密码策略

尽可能加强您的密码是针对密码黑客攻击最重要的安全措施。暴力破解攻击依赖时间来破解您的密码。因此,您的目标是确保您的密码尽可能减缓这些尝试,因为如果入侵时间过长而无用,大多数黑客会放弃并转移目标。使用更长的密码和各种字符。

用户应使用包含符号或数字(如果可用)的10个字符密码。这样做时,有171.3千万亿 (1.71 × 10²⁰) 种可能性。使用每秒尝试103亿次哈希的GPU处理器,破解密码将需要526年。另一方面,超级计算机可能在几周内就能破解它。按照这种逻辑,添加额外的字符会使您的密码更难以破解。

IP地址监控

您应该只允许来自特定IP地址或范围的人登录。如果您有混合工作场所或大多数员工在家工作,这一点尤其重要。设置对来自异常IP地址的任何登录尝试的警报,并确保将其阻止。

禁用root SSH登录

可以使用root用户对安全外壳 (SSH) 协议进行暴力破解攻击。在“sshd_config”文件中设置“DenyUsers root”和“PermitRootLogin no”选项,以防止通过SSH访问root用户。

使用双因素身份验证

多因素身份验证,也称为双因素身份验证,为您的帐户添加了额外的安全层。登录帐户时,2FA要求用户在获得访问权限之前验证其身份。例如,启用2FA后,系统会提示您验证您是尝试登录电子邮件的人。您必须输入密码才能访问您的帐户,通常会发送到您的手机号码。

唯一的登录URL

为多个用户组创建不同的登录URL将是攻击者需要采取的另一个具有挑战性和耗时的步骤。这可能不足以阻止暴力破解攻击,但足以劝退潜在的攻击者。

入侵检测系统 (IDS)

入侵检测系统有助于检测和报告网络安全问题和攻击;但是,它们并非没有缺陷。您不能使用IDS来避免或应对这些问题;您需要另一套工具来做到这一点。SIEM(安全信息和事件管理)软件是一种快速发现、评估和响应威胁的绝佳方法。

其他选项包括强制员工使用安全的加密连接和密码管理器来更改默认端口并手动隐藏连接。您的服务器上仅存储加盐的密码哈希值。采用基于PKI的身份验证,最重要的是,要求强制进行网络安全意识培训。

更新于:2022年5月30日

115 次浏览

启动您的职业生涯

通过完成课程获得认证

开始
广告