賬號密碼認證過程中受到的威脅有暴力破解攻擊、字典攻擊、密碼噴灑攻擊、憑證填充、網絡釣魚等。
1、暴力破解攻擊
暴力破解是指黑客使用大批常見或泄露的密碼,高強度嘗試訪問網絡時所執行的密碼攻擊。利用當今高性能CPU的算力,連遊戲級計算機每秒都可以猜測數十億個密碼。它靠蠻力主動猜測合法用戶賬戶的密碼。
2、字典攻擊
字典攻擊使用大型的常見密碼數據庫(酷似字典)作為來源。它用於通過輸入字典中的每個單詞以及那些單詞的派生詞,以及以前泄露的密碼或密碼短語,非法訪問受密碼保護的資產。
3、密碼噴灑攻擊
密碼噴灑攻擊針對許多不同的賬戶、服務和組織嘗試使用壹個或兩個通用密碼,以此避免在單個賬戶上被檢測或鎖定。攻擊者使用這種方法避免超過設定的賬戶鎖定閾值,許多組織經常設置為輸錯三到五次就鎖住賬戶。
4、憑證填充
憑證填充是壹種自動攻擊,登錄過程中嘗試竊取的用戶名和密碼組合,試圖闖入。憑證可能來自大型數據庫,這些數據庫含有真實的泄露賬戶和密碼。憑證填充攻擊者占到全球許多最大網站的所有登錄流量的90%以上,引發了大量次生數據泄露事件。
5、網絡釣魚
網絡釣魚是壹種古老的攻擊,但它依然非常有效。網絡釣魚攻擊旨在引誘人們執行操作或泄露機密信息,常常通過電子郵件來實施。比如攻擊者偽裝成合法組織或服務商,誘使用戶泄露賬戶信息。