網路犯罪分子使用各式各樣方法來破壞系統,但最經得起考驗的方法仍然是最受歡迎的:密碼竊取。根據微軟《2022年數位防禦報告Microsoft Digital Defense Report 2022》,每分鐘有近1000次基於密碼的攻擊,與去年相比增加了74%。該報告分析了來自微軟全球產品和服務生態系統的數萬億資料。
駭客事件的數量從今年年初至今大幅增加,這主要是由於俄羅斯在2月份入侵烏克蘭,由此引發的國家網路戰爭。但駭客仍然喜歡基於密碼的攻擊;微軟估計,每分鐘有921起這樣的攻擊發生。
暴力撞庫仍然是未經授權存取密碼系統的一種常見方法。NVIDIA的RTX 4090顯卡的強大運算能力在特定情況下可讓撞庫攻擊更加有效。研究人員最近展現Lovelace旗艦顯卡產品如何在短短48分鐘內迴圈完成一個八字密碼的所有2000億次嘗試。
由於許多人在多網站和不同服務應用中使用同樣的身分憑證,大規模資料外洩後駭客取得許多的外洩帳密。2012年發生的大規模LinkedIn帳密外洩事件被認為是讓駭客能夠在2016年進入存取Facebook創始人馬克祖克柏的Twitter和Pinterest帳號。
目標是竊取密碼的釣魚式擊仍然很猖獗。
近來網路犯罪分子一直試圖利用Twitter的驗證改制,透過釣魚攻擊企圖獲取已驗證帳號的密碼。Steam平台是目前全球最大的電腦遊戲數位發行平台,Steam使用者近來也成為了目標。
微軟在2022年下半年於Windows11更新中加入增強的網路釣魚保護。微軟表示,90%的被竊取的帳號沒有受到「強認證」保護,使用MFA(多因子身分驗證)的帳號數量很低,甚至在管理員帳號中也是如此,即便MFA保護層並不能保證帳號100% 安全。
除了在有MFA的地方使用MFA之外,如果你想讓駭客難以下手,通常的建議也適用:避免重複使用密碼(考慮一個好的密碼管理器),保持你的軟體有最新的更新,並避免那些仍流行的可怕弱密碼。