描述基于身份验证的攻击

当有人试图窃取他人的凭据时，将进行身份验证攻击。然后他们可以假装是那个人。这些类型的攻击试图模拟合法用户，因此它们通常也被称为标识攻击。常见攻击包括但不限于：

在暴力攻击中，犯罪分子将尝试直接通过不同的用户名和密码组合来获取访问权限。通常，攻击者的工具可以使用数百万个用户名和密码组合来自动执行此过程。具有单因素身份验证的简单密码容易遭到暴力攻击。

字典攻击是暴力攻击的一种形式，其中应用了常用词字典。为防范字典攻击，需要在密码中使用符号、数字和多个单词的组合。

凭据填充是一种攻击方法，它利用了许多人在不同站点上使用相同的用户名和密码这一事实。攻击者将使用窃取的凭据（通常是在一个站点发生数据泄露后获得）来尝试访问其他区域。攻击者通常使用软件工具来自动执行此过程。为防范凭据填充，请务必不要重复使用密码，并定期更改密码，尤其是在安全漏洞之后。

键盘记录涉及记录键击的恶意软件。使用键盘记录器，攻击者可以记录（窃取）用户名和密码组合，然后将其用于凭据填充攻击。这是在网吧或使用共享计算机进行访问的任何场所的常见攻击。为防范键盘记录，请勿安装不受信任的软件，并使用信誉良好的病毒扫描软件。

键盘记录不仅限于计算机。假设一个不良行动者在 ATM 的读卡器和键盘上安装了一个盒子或设备。当你插入卡时，它首先会通过不良行动者的读卡器，该读卡器会捕获卡详细信息，然后再将其送入 ATM 的读卡器。现在，当你使用不良行动者的键盘输入密码时，他们也会得到你的 PIN。

社会工程涉及到试图使用户泄露信息或完成操作以发动攻击。

大多数身份验证攻击都涉及对计算机的攻击，或试图尝试多种凭据组合。社会工程攻击的不同之处在于它们利用了人类的漏洞。攻击者尝试获得合法用户的信任。他们诱使用户泄露信息或采取某项行动，以使他们能够造成损害或窃取信息。

许多社会工程技术可用于身份验证盗窃，其中包括：

网络钓鱼是指攻击者发送看似合法的电子邮件，目的是让用户泄露其身份验证凭据。例如，电子邮件可能看起来来自用户的银行。此时会打开一个链接，其中显示的内容类似于银行的登录页面，但实际上是一个假站点。用户登录虚假站点后，攻击者就可以使用他们的凭据。网络钓鱼有多种变体，包括针对特定组织、企业或个人的鱼叉式网络钓鱼。
假托是攻击者获得受害者信任并说服他们泄露安全信息的方法。这可以用来窃取他们的身份。例如，黑客可能会打电话给你，假装电话来自银行，并要求你提供密码以验证身份。另一种方法是使用社交媒体。攻击者可能会要求你完成一项调查或一个小测验，其中会问一些看似随机和合法的问题，以使你透露个人信息，或者会做一些看起来很有趣的事情，比如用你第一只宠物的名字和你出生的地方来为想象的流行明星乐队起名字。
利诱是一种攻击形式，其中犯罪分子提供虚假的奖励或奖品，以鼓励受害者泄露安全信息。

这些只是基于身份验证的攻击的几个示例。总是有可能出现新的攻击类型，但可以通过教育人们和使用多重身份验证来防范此处列出的所有攻击类型。

反馈