iT邦幫忙

2025 iThome 鐵人賽

DAY 19
0
Security

資安菜鳥的30天挑戰系列 第 19

[DAY19] 我要打開你的大門!

  • 分享至 

  • xImage
  •  

密碼破解

📌 想像每個帳號都是一把門鎖

暴力破解 → 有人不停試所有可能的鑰匙直到打開門

撞庫 → 有人拿了從別人那裡偷來的一堆鑰匙去嘗試別人的門,看哪把鑰匙能用

密碼噴灑 → 像有人用少數常見鑰匙(如 123456)去試很多不同的門,希望某些門恰好開了

📌 重複使用密碼、弱密碼、系統沒差別化防護,容易為易攻擊對象

攻擊方

  • 偵察:收集目標服務的登入端點、API、常見輸入格式與限制(速率、回傳訊息)。
  • 工具
    • Brute-force:Hydra、Burp Intruder、custom scripts(對單帳號暴力嘗試)。
    • Credential stuffing:使用有清單的帳密(從資料外洩買來或公開洩露)搭配自動化工具(Sentry MBA、Snipr、custom tools)。
    • Password spraying:簡單腳本或 Burp 的自動化配置,針對大量帳號用少量常見密碼嘗試。
  • 技巧:使用代理池/殭屍主機分散流量、快慢混合、避開速率限制與 IP 黑名單、利用 API 與手機 App 弱點規避 CAPTCHA。
  • 目標:取得可用憑證後做 ATO(帳號接管)、金融詐騙、散播垃圾、或建立後門。

防禦方

  1. 強制多因素驗證(MFA) — 不依賴 SMS 單一因素,採用 TOTP / Push / FIDO2
  2. 速率限制與分佈式節流 — 針對 IP/裝置/帳號設定合理的速率閾值與逐步延遲(exponential backoff)
  3. 阻擋撞庫
    • 檢查登入憑證是否出現在已知洩漏名單(Have I Been Pwned API / 自建 DB)
    • 對來自可疑來源或已知代理池的流量進行更高強度驗證
  4. 密碼策略與密碼管理
    • 禁用超常見密碼(blacklist)與強制最小長度/複雜性或採用 passphrase
    • 推薦並支援密碼管理器(避免人為重複密碼)
  5. Device fingerprinting / risk-based auth — 根據裝置指紋、IP 地理位置、行為基線決定是否 step-up
  6. 監控與情資 — 整合 SIEM:偵測大量失敗登入、短時間內跨帳號的相同密碼失敗模式、IP reputation、暴力嘗試指標
  7. 伺服器端安全 — 密碼以強鹽與慢 hash儲存、限制登入 API 的回傳資訊

偵測指標

  • 突然的大量失敗登入(短時內多 IP)
  • 相同密碼在大量帳號上嘗試
  • 同一來源 IP 在多個帳號上嘗試登入
  • 登入來源地點/裝置突變(UBA 異常)
  • API token/Session 在異常地點使用

應變

  1. 臨時提高防護:啟用更嚴格速率限制、CAPTCHA、關閉無必要的登入 API
  2. 通知與鎖定:對疑似受害帳號執行暫停、強制重設密碼、發送安全通知(包含如何回應與客服聯絡資訊)
  3. 取證日誌保存:保留完整登入請求/回應、IP、User-Agent、時間戳供後續分析
  4. 移除洩露憑證的使用:若撞庫來源可追溯到洩露資料庫,批次強制重設受影響用戶
  5. 長期改進:更新黑名單、調整策略、擴展 MFA 覆蓋、訓練客服辨識社工詐騙

結論

📌 使用者往往重複使用密碼或選擇弱密碼

攻擊工具與洩露資料庫使得攻擊成本極低

防守端以 MFA 與風險式驗證為核心

速率限制、密碼黑名單與行為分析來阻斷自動化攻擊

在服務端以強鹽與慢雜湊儲存密碼並限制登入回傳訊息

早發現攻擊並觸發 step-up 措施,將損害降至最低


上一篇
[DAY18]釣魚釣魚!掉到什麼魚?
下一篇
[DAY20]偷偷聽著妳們的對話!
系列文
資安菜鳥的30天挑戰20
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言