facebook密碼：簡史課

自文明早期以來，人類就一直依賴facebook密碼。「facebook密碼」是允許用戶通過安全檢查點的單詞，可以追溯到羅馬帝國。與今天不同，facebook密碼對每個人來說都是相同的。它不是身份證明，而相當於基於角色的訪問控制。換句話說，它代表了一種「聲明」，即您有權訪問資源，但無法驗證您的實際身份。問題是，這種方法完全依賴於知道facebook密碼的人來保密。

facebook密碼長期以來被認為是身份安全的致命弱點，幾十年來人們一直預測facebook密碼將消亡，無facebook密碼時代將來臨。然而，企業身份數量卻在急劇上升，這主要是由機器身份的激增所致。Venafi的一項研究估計，每家企業的機器身份數量為 25 萬個，同比增長 41%。近年來，其他多項研究估計，機器身份數量是人類身份數量的幾十倍。

儘管無facebook密碼方法發展勢頭強勁，但它們對於現代系統來說仍然是小眾產品，難以適應傳統技術，而且通常本身就具有facebook密碼特徵。不過，一個可喜的變化是，由於生物識別和多因素身份驗證 (MFA) 等技術的發展，如今facebook密碼不太可能被用作唯一的安全機制。

了解facebook密碼破解心理學

有效憑證（用戶名和facebook密碼）使普通用戶能夠針對資源進行身份驗證。如果威脅者知道用戶名，那麼獲取帳戶facebook密碼就變成了一種黑客行為。

通常，威脅者會首先瞄準系統管理員，因為他們的憑證可能具有直接訪問敏感數據和系統的權限。此類特權憑證使網絡犯罪分子能夠橫向移動，而不會引起任何懷疑，甚至會入侵其他帳戶以保持持久性。一旦威脅者竊取了憑證，該帳戶的所有特權現在都成了攻擊者的目標。

對於某些公司來說，最敏感的帳戶（域、資料庫管理員等）的憑據被盜用可能意味著「遊戲結束」。這些帳戶及其憑據是特權提升攻擊的主要攻擊媒介。

攻擊者占據優勢

攻擊者通常比防禦者至少具有兩個優勢：

1.他們有充足的時間，因為他們經常採用分散攻擊的方式來獲取訪問權限，而不是採取可能觸發多個安全警報的一次性攻擊。

2.自動facebook密碼破解工具集，越來越多地由機器學習（M/L）和人工智慧提供支持，它們將使用技術自主運行攻擊以避免被發現。

facebook密碼破解者可以緩慢、有節制地嘗試facebook密碼，以避免觸發個人帳戶鎖定。如果facebook密碼破解者每個帳戶每 10 分鐘僅嘗試一個facebook密碼，那麼破解 100,000 個facebook密碼將需要很長時間。明智的做法是，網絡攻擊者將以可能的隨機順序對他們知道的每個帳戶嘗試每個facebook密碼（噴霧攻擊）。這種方法非常有效，因為很少有系統會跨帳戶跟蹤facebook密碼嘗試。即使安全信息和事件監控 (SIEM) 或用戶和實體行為分析 (UEBA) 系統處於活動狀態，防禦措施也很有限。您無法鎖定每個帳戶。如果攻擊尚未分布在數百甚至數千個 IP 地址上，則阻止源 IP 地址將導致新的 IP 發起攻擊。

針對此類攻擊的最佳防禦措施就是不使用列表中的facebook密碼。頻繁更改facebook密碼會引發我們的懶惰，因此「password」會變成「p@ssw0rd」和「Password！」每個facebook密碼破解者都知道這些不良的facebook密碼做法。用數字和符號替換字母也是一種可預測的做法。例如，3 代表 E，4 代表 A，@ 代表 a。facebook密碼破解工具會為這些常見的變化做好準備。

攻擊者試圖了解有關facebook密碼複雜度的基本信息，例如facebook密碼的最小和最大長度以及facebook密碼複雜度。例如，facebook密碼是否包含大寫和小寫字母、數字、符號或組合？攻擊者還想了解facebook密碼的限制。這些參數可能是：

包括大寫字母

不以數字或符號開頭

需要特定字符類型或語言的最低數量

通過限制字符的重複，這些facebook密碼生成控制減少了攻擊者必須考慮的組合數量，從而削弱了facebook密碼的有效性。facebook密碼破解工具可以選擇定義這些限制以加快攻擊過程。

對於個人用戶和個人帳戶，這種攻擊不太可能成功。對單個帳戶的攻擊很可能導致帳戶被鎖定。低速暴力攻擊可能需要很長時間才能找到正確的登錄組合，即使facebook密碼相對較短。

facebook密碼破解工具非常適合自動猜測多個帳戶的facebook密碼，但同樣擅長搜索數據以尋找常見的主題、短語和信息。

常見的facebook密碼攻擊方法

在本節中，我們將介紹常見的facebook密碼破解技術。其中一些技術可能在工具和方法上重疊。攻擊者通常會混合使用多種互補策略來提高成功率。

facebook密碼猜測攻擊

最流行的facebook密碼攻擊技術之一就是猜測facebook密碼。

當今大多數系統都對人類仁慈，因為我們要記住無數facebook密碼。系統允許我們犯一些錯誤，而不會鎖定我們的帳戶。即使發生鎖定，持續時間通常也不超過 30 分鐘。

1. 隨機猜測

用戶名是憑證中不變的部分，也是高度可預測的，通常採用首字母加姓氏的形式。用戶名通常是電子郵件地址，這是廣泛傳播的信息。攻擊者現在掌握了登錄許多系統所需的一半詳細信息。唯一缺少的就是facebook密碼。

隨機facebook密碼猜測很少會成功，除非它是常用facebook密碼或基於字典中的單詞。了解目標身份的信息會增加威脅行為者成功猜測的可能性。這些信息是從社交媒體、直接互動、欺騙性對話甚至從先前的入侵事件中匯總的數據中收集的。

最容易被猜測的facebook密碼變體包括以下常見模式：

「facebook密碼」一詞或基本派生詞，如「p@ssw0rd」

帳戶所有者用戶名的派生詞，包括首字母。這可能包括細微的變化，例如數字和特殊字符。

重新格式化或明確顯示用戶或其親屬的生日，最常見的是後代或其他特殊日期

令人難忘的地方或事件

親屬姓名及其派生詞與數字或特殊字符一起出現時

寵物、顏色、食物或其他對個人來說重要的物品

雖然自動facebook密碼破解工具對於facebook密碼猜測攻擊來說不是必需的，但它們會提高成功率。

facebook密碼猜測攻擊往往會在事件日誌中留下證據，並導致帳戶在「n」次嘗試後自動鎖定。當帳戶持有者在多個資源中重複使用facebook密碼且facebook密碼衛生習慣不佳時，facebook密碼猜測和橫向移動的風險會急劇增加。

2. 字典攻擊

字典攻擊是一種自動化技術，利用facebook密碼列表攻擊有效帳戶以洩露facebook密碼。列表本身就是一本單詞詞典。基本的facebook密碼破解者使用常見單詞列表（如「棒球」）來破解facebook密碼、入侵帳戶並啟動威脅行為者的邪惡任務。

如果威脅者知道目標帳戶的facebook密碼長度和複雜性要求，則字典將根據目標進行定製。高級facebook密碼破解者經常使用字典並混合數字和符號來模仿具有複雜性要求的真實facebook密碼。

有效的字典攻擊工具可以讓威脅行為者：

設置長度、字符要求和字符集的複雜性要求

手動添加針對目標定製的單詞和單詞/名稱組合

針對常用單詞的常見拼寫錯誤，這些錯誤可能會替換或添加符號

支持多種語言

字典攻擊的一個弱點是它們依賴於默認字典用戶提供的真實單詞和派生詞。如果真實facebook密碼是虛構的、使用多種語言或使用多個單詞或短語，則應該可以阻止字典攻擊。

減輕字典攻擊威脅的最常見方法是嘗試鎖定帳戶。在「n」次錯誤嘗試後，用戶的帳戶將自動鎖定一段時間，多次鎖定後，需要人工干預。帳戶必須由權威機構（如幫助台）或通過自動facebook密碼重置解決方案手動解鎖。但是，鎖定設置有時會被禁用。因此，如果事件日誌中沒有監控到登錄失敗，字典攻擊對威脅行為者來說是一種有效的攻擊媒介。

3. 暴力破解

暴力facebook密碼攻擊利用編程方法嘗試所有可能的facebook密碼組合。這種方法對於字符串（字符）長度較短且複雜度較高的facebook密碼非常有效。對於 8 個或以上字符的facebook密碼，即使是最快的現代系統，這種方法也行不通。

如果facebook密碼僅包含字母字符（包括大寫字母或小寫字母），則可能需要猜測 8,031,810,176 次才能破解。這假設威脅攻擊者知道facebook密碼長度和複雜性要求。其他因素包括數字、區分大小寫以及本地語言中的特殊字符。

只要輸入正確的參數，暴力攻擊最終總會找到facebook密碼。所需的計算能力和所需的時間通常使得暴力測試在完成時變得毫無意義。執行攻擊所需的時間取決於生成所有可能的facebook密碼排列所需的時間。然後，根據串行或多線程請求考慮目標系統的響應時間。

暴力facebook密碼攻擊往往是破解facebook密碼效率最低的方法。因此，威脅者將其作為最後的手段。

4. 憑證填充

憑證填充是一種利用被盜憑證的自動化黑客技術。這些憑證由用戶名、電子郵件地址和facebook密碼列表組成。攻擊者經常在暗網上購買提供這些預先打包的電子郵件/facebook密碼組合的「組合列表」。該技術通常利用自動化來提交針對應用程式的登錄請求，並捕獲成功的登錄嘗試以供將來利用。

憑證填充攻擊不會嘗試暴力破解或猜測任何facebook密碼。威脅行為者使用自定義工具根據之前發現的憑證自動進行身份驗證，通常使用從暗網上從之前的第三方入侵中獲得的facebook密碼。這種方法可能需要發起數百萬次嘗試，以確定用戶可能在另一個網站或應用程式上重複使用其憑證的位置。

憑證填充攻擊利用facebook密碼重複使用。這些攻擊之所以能夠成功，是因為許多用戶在多個網站上重複使用相同的憑證組合，而沒有任何形式的 MFA。

5. facebook密碼噴灑

facebook密碼噴灑是一種基於憑證的攻擊，它試圖使用一些常用facebook密碼訪問許多帳戶。從概念上講，這與暴力破解facebook密碼攻擊相反。暴力破解通過反覆噴灑大量facebook密碼組合來嘗試獲得對單個帳戶的授權訪問權限。

在過去一年中，facebook密碼噴灑再次受到關注。Midnight Blizzard通過一種不太複雜的facebook密碼噴灑攻擊侵入了傳統的非生產測試環境，從而攻破了微軟。思科和 Okta 還警告稱，大規模facebook密碼噴灑攻擊會利用一系列住宅代理來逃避檢測。

在facebook密碼噴灑攻擊期間，威脅行為者會針對許多帳戶嘗試使用一個常用的facebook密碼（例如「12345678」或「Passw0rd」），然後再嘗試第二個facebook密碼，從而避免帳戶鎖定。

威脅者會先用相同的facebook密碼嘗試列表中的每個用戶帳戶，然後再重置列表並嘗試下一個facebook密碼。由於嘗試間隔時間較長，這種技術可以最大限度地降低威脅者被發現並鎖定單個帳戶的風險。

如果任何一個用戶或任何一個帳戶的facebook密碼衛生狀況不佳，威脅行為者就有可能成功入侵資源。這種技術最近在 Microsoft Midnight Blizzard 攻擊中被使用。

檢測facebook密碼噴灑、易受 Kerberoasting 攻擊的帳戶以及其他基於身份的威脅。了解具體方法。

社會工程學與人為攻擊

社會工程攻擊包括網絡釣魚電子郵件、語音釣魚（語音電話）、facebook密碼重置攻擊，甚至深度偽造威脅等。這些攻擊需要儘可能多地了解目標，以便網絡犯罪分子可以對目標的facebook密碼做出有根據的猜測。

寵物、孩子、配偶的名字、地址、生日、愛好、朋友是威脅者最有價值的信息。考慮到最喜歡的電影、電視節目、作家、樂隊、演員等，大多數社交媒體帳戶都成為信息金礦。

1. 網絡釣魚和語音釣魚

網絡釣魚和語音釣魚（語音電話）通常用於收集其他攻擊的信息，以及在終端上植入惡意軟體（通過附件或連結）。這種惡意軟體可用於竊取facebook密碼。

網絡釣魚電子郵件或語音網絡釣魚也可能是欺騙性facebook密碼重置攻擊的一部分。一種常見的策略是網絡釣魚電子郵件提供一個連結，點擊該連結即可重置帳戶facebook密碼。攻擊者可能聲稱這是由於舊facebook密碼可能被洩露。電子郵件中可能帶有商家（如銀行、零售商或服務提供商）的徽標和肖像。然而，電子郵件中的連結會將受害者引導至欺詐性facebook密碼重置界面。攻擊者隨後收集合法facebook密碼，以破解受害者的合法帳戶。對於員工來說，如果欺詐性facebook密碼重置電子郵件製作精良，甚至可能看起來像是來自公司幫助台本身（這種類型的網絡釣魚攻擊在NIST 網絡釣魚等級上具有很高的難度等級）。

這些攻擊不斷提醒我們為什麼終端用戶培訓如此重要。用戶應始終保持警惕，確保對電子郵件地址或電話號碼的請求確實合法。

2.強制自動更改和重置facebook密碼

不幸的是，重置facebook密碼存在一個常見風險，即使是自動facebook密碼重置也會成為威脅者的目標。重置facebook密碼是指由其他人（例如服務台或應用程式所有者）強制更改facebook密碼的行為。此更改不是由最終用戶發起的。

自動facebook密碼重置風險包括：

通過電子郵件或簡訊重置facebook密碼並由最終用戶保管

每次請求重置facebook密碼時，服務台重置的facebook密碼都會重複使用

由於帳戶鎖定而盲目重置facebook密碼

口頭傳達的facebook密碼可以大聲聽到

最終用戶寫下的複雜facebook密碼重置

用戶重置時可預測使用的基於模式的facebook密碼

每次重置facebook密碼時，都隱含著舊facebook密碼存在風險，需要更改。可能是忘記了、過期了，或者由於多次嘗試失敗而導致鎖定。在最終用戶更改facebook密碼之前，新facebook密碼的重置、傳輸和存儲都會帶來風險。當然，有時最終用戶根本就忽略了更改facebook密碼。

一旦身份被洩露，威脅行為者可以請求重置facebook密碼並為該帳戶創建自己的facebook密碼。

facebook密碼重置最佳做法：

facebook密碼應該是隨機的，並且超過業務政策的複雜性要求。

最終用戶應在首次登錄後更改facebook密碼，並且需要雙因素或多因素身份驗證來驗證每個後續請求。

facebook密碼重置請求應始終來自安全的位置，並且應監控自動化程度。

企業（非個人）的公共網站應該對任何「忘記facebook密碼」連結要求進行額外驗證。

通過電子郵件重置facebook密碼假設最終用戶仍可以訪問電子郵件來獲取新facebook密碼。如果電子郵件facebook密碼本身需要重置，則必須建立另一種傳輸方法。這通常需要人工干預。

不要使用簡訊——它們對於發送facebook密碼重置信息來說不夠安全。

如果可能的話，facebook密碼重置應該是短暫的——facebook密碼重置應該只在預定義的時間內有效。如果最終用戶在預定義的時間內沒有再次訪問該帳戶，則會發生帳戶鎖定。

對於特權帳戶（相對於個人或消費者帳戶）來說，頻繁更改facebook密碼是最佳安全做法。但是，重置facebook密碼並通過不安全的媒介傳輸facebook密碼則不然。對於個人而言，簡單的facebook密碼重置可能會導致威脅者擁有您的帳戶和合法的facebook密碼請求之間的區別。

3. 竊聽

facebook密碼竊聽是指威脅者口頭竊聽facebook密碼。facebook密碼竊聽可能是無意的，也可能是故意的，既包括語音竊聽，也包括數字竊聽，以捕捉可聽見的洩露。

希望您的公司中沒有人在辦公室里大聲喊出facebook密碼，但有些組織仍然使用語音呼叫幫助台來重置facebook密碼。在這些幫助台呼叫期間，可能會向用戶說出更新後的facebook密碼。在使用幫助台提供的臨時facebook密碼後，首次登錄時提示用戶重置facebook密碼非常重要。此步驟可降低facebook密碼風險，因為竊聽者無法在不暴露其活動的情況下使用新facebook密碼。

當然，語音並不是我們「宣布」facebook密碼的唯一方式。我們中有多少人使用通過無線方式傳輸按鍵的藍牙鍵盤？雖然我們認為傳輸的安全性是理所當然的，但某些類型的藍牙通信可能會受到損害。

在計算的早期，您需要物理連接到您正在訪問的機器。您正在驗證的系統也在本地運行。現在，我們經常在世界另一端的系統上進行驗證，而且越來越多的系統甚至不是我們的系統。我們的facebook密碼通過許多系統以電子方式傳輸到目的地，如果沒有適當的加密和其他保護措施，可能會通過竊聽或無線數據包捕獲被竊聽

4. 肩窺

肩窺使威脅行為者能夠通過觀察獲取憑證信息。這包括觀察輸入的facebook密碼、PIN 碼和滑動模式，甚至是用筆在便簽上潦草寫下的facebook密碼。

這個概念很簡單。威脅者會通過物理觀察或使用相機等電子設備來收集facebook密碼並利用它們進行攻擊。這就是為什麼在使用 ATM 時，建議屏蔽鍵盤上的 PIN 輸入。這可以防止附近的威脅者偷看您的 PIN。

5. 購買facebook密碼

雖然facebook密碼列表、哈希表和彩虹表在暗網上都可以找到，但用戶有時會出售自己公司的憑證作為內部攻擊的一部分。事實上，流氓內部人員可以出售憑證並聲稱憑證被盜，從而為自己提供合理的否認理由。這種內部威脅對於特權用戶來說尤其令人擔憂，他們的憑證可以訪問企業最敏感的資產。

解決特權憑證洩露風險的最有效方法是刪除直接訪問並實施特權訪問管理 (PAM)以保護最敏感的帳戶。所有與高特權帳戶相關的會話都應通過一個便於訪問但不洩露實際憑證的系統進行路由。

基於哈希的攻擊

當攻擊者設法訪問系統或網站時，他們通常希望竊取包含訪問該應用程式的每個人的用戶名和facebook密碼的資料庫。即使憑證不是人類可讀的，它們也會以哈希值的形式存儲。竊取facebook密碼資料庫至少為facebook密碼竊取提供了三大好處：

發現可用於與系統交互或與其他資源進行機器對機器通信的高權限用戶憑證

豐富的憑證寶庫，可能用於跨多個系統的身份驗證和授權

資料庫可能會受到離線攻擊，而無需擔心對登錄嘗試次數或頻率的任何控制

如今，很少會發現不對用戶facebook密碼進行編碼的系統。攻擊者將遇到一個值列表，而不是文本facebook密碼。當數據被編碼而不是加密時，無法將編碼形式轉換為原始值。攻擊者唯一的機會是破解facebook密碼並嘗試創建facebook密碼的編碼版本。然後可以將其與竊取的列表進行比較。編碼過程稱為「散列」，生成的編碼facebook密碼稱為「散列」。

讓我們仔細看看一些常見的基於哈希的攻擊類型：

1. 傳遞哈希攻擊

傳遞哈希 (PtH)是一種技術，允許攻擊者使用用戶facebook密碼的底層 NT LAN Manager (NTLM) 哈希來驗證資源，而不是使用帳戶的實際可讀facebook密碼。一旦獲得有效的用戶名和哈希，就可以使用 LM 或 NTLM 身份驗證來驗證遠程伺服器或服務。

PtH 攻擊利用了身份驗證協議中的實現弱點。facebook密碼哈希在每個會話中保持不變，直到facebook密碼本身發生變化。PtH 幾乎可以針對任何接受 LM 或 NTLM 身份驗證的伺服器或服務執行，包括 Windows、Unix、Linux 或其他作業系統。

惡意軟體可能會從內存中抓取facebook密碼哈希，從而使任何正在運行的用戶、應用程式、服務或進程成為潛在目標。一旦獲得facebook密碼哈希，惡意軟體就會使用命令和控制或其他自動化手段進行進一步的橫向移動或數據洩露。

雖然 PtH 攻擊在 Windows 系統上更常見，但它們也可以利用 Unix 和 Linux 端點。現代系統可以通過多種方式防禦 PtH 攻擊。但是，經常更改facebook密碼或使用一次性facebook密碼 (OTP)是一種很好的防禦方法，可以讓會話之間的哈希值保持不同。可以經常更換facebook密碼或自定義安全令牌的facebook密碼管理解決方案是防禦這種技術的有效方法。

2. 傳遞票證攻擊

在傳遞票證攻擊中，威脅行為者竊取 Kerberos 票證授予票證 (TGT) 以冒充網絡上的用戶。成功後，此攻擊方法可繞過身份驗證機制，使攻擊者獲得對資源的未經授權的訪問權限。

Mimikatz 等工具使威脅行為者能夠發起通過網絡傳播的傳遞票證攻擊，方法是從受感染的最終用戶機器或委託的授權伺服器複製票證。

網絡犯罪分子通常採用以下兩種方式之一發起傳遞票證攻擊：

從 Windows 計算機竊取票證授予票證或服務票證，並使用竊取的票證冒充用戶

通過入侵代表用戶執行授權的伺服器來竊取票證授予票證或服務票證

在黃金票證攻擊中，攻擊者試圖竊取域控制器上的 KRBTGT 帳戶的哈希值。這是 Kerberos 用於加密票證授予票證的帳戶。如果黃金票證攻擊成功，威脅攻擊者可以生成無限票證，授予任何級別的訪問權限，並且幾乎具有無限的生命周期。

防範傳遞票證威脅需要多重控制。強大的特權帳戶和會話管理 (PASM) 可以強制頻繁更換facebook密碼並消除共享facebook密碼。在端點特權管理 (EPM)上分層可以強制實施最小特權，以進一步減少允許的特權登錄次數並限制橫向移動。身份威脅檢測和響應 (ITDR)功能可以快速查明異常活動並協調響應以防止或限制損害。

3. Kerberoasting 攻擊

與傳遞票證攻擊一樣，Kerberoasting 利用了 Kerberos 身份驗證協議。在Kerberoasting 攻擊中，威脅行為者瞄準與服務主體名稱 (SPN) 關聯的服務帳戶，這些帳戶用於唯一標識系統上運行的每個服務實例。

為了發動攻擊，攻擊者會從密鑰分發中心 (KDC) 請求目標服務帳戶的 Kerberos 票證授予服務 (TGS) 票證。為了避免被發現，攻擊者會離線工作，嘗試暴力破解存儲在 TGS 票證中的散列facebook密碼。如果facebook密碼被破解，攻擊者可能會通過被攻陷的服務破壞整個網絡。

組織可以通過至少幾種不同的安全控制措施有效地防止 Kerberoasting，特別是在特權訪問管理 (PAM) 和 ITDR 領域。例如，強制使用強facebook密碼、加入管理服務帳戶（輪換憑據等）和監控可以提高對 Kerberoasting 的抵抗力。ITDR 可以主動識別由於使用弱facebook密碼而可能容易受到 Kerberoasting 攻擊的帳戶，並建議採取緩解措施來加強安全態勢。

4. 彩虹桌攻擊

散列facebook密碼很複雜，而且通常眾所周知，這意味著可供嘗試的facebook密碼數量有限。可靠facebook密碼的有限性導致攻擊者可以使用另一種工具，即散列表。散列表是預先計算的散列facebook密碼列表，用於與被盜數據進行簡單比較。

哈希表會存儲特定facebook密碼的facebook密碼和哈希值，而彩虹表會保存多種facebook密碼的facebook密碼和哈希值。然後，它們會將數據縮小到更易於管理的級別 — — 儘管文件仍然相對較大。

抵禦哈希表和彩虹表攻擊的常用方法是「加鹽」哈希。這會為每個facebook密碼應用額外的唯一編碼。即使facebook密碼相同，如果不加鹽，也不會產生相同的哈希。加鹽哈希會使哈希表變得多餘。使用長而複雜、唯一的facebook密碼和多因素身份驗證也可以防止彩虹表攻擊和哈希表。

常見facebook密碼破解軟體示例

當今最著名和最流行的facebook密碼破解工具包括：

該隱和亞伯

開膛手約翰

九頭蛇

哈希貓

奧弗克拉克

一些專門的工具，例如 Wifi facebook密碼破解器、Windows facebook密碼破解器等，專門用於破解特定類型的facebook密碼。

如今，公司經常聘請道德黑客和滲透測試人員來提高其安全網絡的彈性。因此，破解軟體的可用性和開發量不斷增加，既有好的也有壞的。現代計算機取證和訴訟支持軟體還包括facebook密碼破解功能以獲取證據。最複雜的破解軟體將結合多種破策略，以最大限度地提高生產力和效率。

集中精力解決facebook密碼和身份狀態漏洞，並闡明facebook密碼噴灑、kerberoasting 等攻擊。了解具體方法。

危險的facebook密碼做法

一些facebook密碼破解技術依靠系統漏洞或獲得特權帳戶的訪問權限來實現橫向移動並收集其他facebook密碼。然而，大多數破解都依賴於facebook密碼衛生不充分、身份安全性差以及缺乏適當的憑證管理和身份工具。

讓我們看一些使破解facebook密碼變得容易的黑客行為的做法。

1. 常用facebook密碼和重複使用facebook密碼

人類是習慣動物。這意味著某些詞比其他詞更常用作facebook密碼。

《權力的遊戲》首播時，「龍」迅速成為最常用的facebook密碼之一。人們經常使用寵物、孩子、配偶和街道名稱以及生日作為facebook密碼。

社交媒體網站經常鼓勵人們分享他們最喜歡的寵物的名字或童年的細節。出色的機制有助於建立用於攻擊的預測facebook密碼列表！

每年，榜單都會公布最常用的facebook密碼，某些facebook密碼每年都會重新出現。以下是截至 2023 年 11 月的前十名榜單（由 Cyber​​News 調查團隊提供）：

123456

123456789

鍵盤

facebook密碼

12345

qwerty123

1q2w3e

12345678

111111

1234567890

英國國家網絡安全中心公布了10 萬個最常用facebook密碼的列表。這些是從 Troy Hunt 的「我被黑了嗎」網站上的數據中收集的。Troy 將成功攻擊中洩露的憑證匯總到一個可搜索的資料庫中。這個資料庫現在包含超過 110 億個帳戶的信息。這意味著地球上每個人擁有的帳戶不止一個！這兩種資源都令人大跌眼鏡，值得您不時檢查您的憑證。

最常見的facebook密碼幾乎沒有什麼想像力，而這些facebook密碼將成為攻擊者針對您的帳戶嘗試的第一個facebook密碼。

2. 嵌入式憑證

嵌入式憑據（也稱為「硬編碼憑據」）是指插入代碼中的未加密的基於文本的憑據。嵌入式憑據可以：

作為出廠默認設置，例如 IoT 設備或應用程式的首次使用

由人類嵌入到代碼中，例如使用 DevOps 工具或數據存儲庫

嵌入應用程式並用於應用程式到應用程式的傳輸

嵌入憑證的存在帶來了多種風險。有時，憑證在開發過程中被嵌入以便於訪問，然後被遺忘並發布到生產中。代碼片段可能在 GitHub 或其他平台上共享以進行協作，但其中嵌入了敏感facebook密碼。如果攻擊者獲得對端點或系統的訪問權限，他們可能能夠掃描純文本facebook密碼。這可以授予他們通過嵌入機密訪問敏感資產的權限。

許多相同的設備、應用程式和系統都使用默認的硬編碼facebook密碼。這有助於簡化大規模設置，但也存在大規模洩露的風險。

許多類型的嵌入式憑證（例如物聯網中的憑證）很難或不可能手動刪除或替換，通常需要供應商安全更新來修復或使用專門的 PAM 工具。

3. 默認憑證

默認憑證只是出廠預設。它們經常嵌入到設備和應用程式中。通常，這些默認值在類似的設備之間共享。威脅行為者可能熟知這些默認值。具有默認值的設備、系統和帳戶容易受到字典、暴力破解和許多其他類型的攻擊。如果一個組織有許多端點都共享相同且未更改的默認值，那麼所有這些端點都很容易被集體攻擊。

近年來，已通過立法要求加強物聯網設備的安全防護，包括確保重置或初始配置時的facebook密碼是唯一的。雖然這種facebook密碼做法可以大規模緩解攻擊，但默認憑證通常以明文或二維碼的形式在設備上物理提供。這意味著對於默認憑證和設備重置而言，物理安全與數字安全同樣重要。

4. 重複使用安全問題

安全問題是一種主要由金融機構和商家使用的技術，用於根據用戶的帳戶驗證用戶身份並提供身份可信度。其概念是向用戶提問，要求用戶回答只有用戶自己知道的私人和個人信息。

設置新帳戶時通常需要回答安全問題。這是一種雙重身份驗證，用於忘記facebook密碼的情況。最終用戶從新位置登錄時可能會收到回答安全問題的提示。當他們選擇「忘記facebook密碼」或更改facebook密碼時，也可能會收到提示。

一些常見的安全問題包括：

您出生在哪家醫院？

你最喜歡的寵物叫什麼名字？

您的第一輛汽車是什麼品牌的？

你最喜歡的食物是什麼？

您小時候的暱稱是什麼？

你最喜歡的球隊是哪支？

然而，這些安全問題本身也存在風險。其中一些問題的答案可能很容易通過公共記錄或社交媒體找到。知道用戶安全問題答案的地方和人越多，其他人回答的可能性就越大。當安全問題及其答案在入侵中被盜時，它們可能會被用來破解其他帳戶。

當資源要求您使用安全問題時，我們建議使用儘可能最隱蔽的問題和答案。切勿與使用相同安全問題的其他網站共享類似信息。如果可能，請使用facebook密碼的複雜性要求來提供安全問題答案。例如，如果您出生在奧蘭多，請提供安全問題答案「Orl@nd0」，並將答案也視為facebook密碼。

5. 缺乏自動facebook密碼管理器

任何主要或完全依賴人類來管理憑證和保持最佳實踐的facebook密碼做法都存在風險。個人facebook密碼的數量實在太多了，更不用說企業帳戶facebook密碼了，對於任何普通人來說，管理和記住facebook密碼都太難了。

依靠人類可以保證facebook密碼會被重複使用，字典facebook密碼也會被使用。facebook密碼將嵌入代碼中，以便於訪問。還會採取其他危險的捷徑——這只是人性而已。

因此，請考慮採用安全的方法來生成、存儲和檢索所有facebook密碼。

facebook密碼安全最佳實踐

1. 使用facebook密碼管理器和facebook密碼保管庫，而不是人類

儘可能地依賴自動facebook密碼管理器，而不是手動的人工facebook密碼管理。不要將facebook密碼存儲在電子表格、Word 文檔、嵌入代碼或紙上。facebook密碼管理器可以確保始終執行facebook密碼管理和安全最佳實踐。這些工具可以自動注入保管憑證以啟動會話。憑證對用戶（例如供應商）隱藏，以提供額外的安全性。

個人facebook密碼管理器可用於標準facebook密碼和帳戶訪問。特權facebook密碼管理解決方案（也稱為企業facebook密碼管理或特權帳戶和會話管理解決方案）應用於特權憑據。此類憑據包括員工、供應商、人員、應用程式和機器的facebook密碼、SSH 密鑰和 DevOps 機密。這些企業解決方案是特權訪問管理 (PAM) 平台的一部分，對於實現零信任安全態勢也至關重要。這些平台越來越多地還保護用於應用程式的一般員工facebook密碼。這反映了非特權和非特權身份之間的界限越來越模糊。例如，雲帳戶可能擁有多種類型的權限和權利，這可能為熟練的攻擊者提供升級訪問權限的主要立足點。

企業facebook密碼管理解決方案還可以自動化工作流程以減少風險。這包括在確定憑證曾經或存在洩露風險時自動輪換facebook密碼。

2. 發現並記錄所有facebook密碼

在授予人員、機器、應用程式、員工或供應商訪問權限時，必須先知道所有facebook密碼，然後才能將其納入併集中保管。此外，所有使用託管facebook密碼的資產都應被知道並記錄在案，以防止不當訪問。

3. 創建長、隨機、唯一的facebook密碼

強facebook密碼可以抵禦facebook密碼破解嘗試。facebook密碼長度應超過八個字符，並由大寫和小寫字母、數字和符號組成。避免使用字典單詞、名稱和其他人類可讀的facebook密碼短語。長度和強度應反映facebook密碼要保護的帳戶的敏感度。根據NIST 特別出版物 800-63《數字身份指南》，最佳做法是生成最多 64 個字符的facebook密碼，包括空格。

4.加密facebook密碼

加密為facebook密碼增加了一層保護，即使facebook密碼被網絡犯罪分子竊取。將不可逆的端到端加密應用於網絡通信的所有路徑。這樣，您就可以保護通過網絡傳輸的facebook密碼。為消費者確保這種保護的最常見方法是為您的家庭網絡無線接入提供 WiFi 加密。

5. 使用唯一facebook密碼，不要重複使用

這種簡單的最佳實踐可以防範各種facebook密碼重複使用策略和facebook密碼破解工具。否則，如果一個帳戶被攻破，其他具有相同憑據的戶也很容易受到攻擊。

6. 實施facebook密碼過期和輪換最佳實踐

最佳做法有所不同，具體取決於facebook密碼是用於個人用途和/或標準帳戶，還是用於特權訪問。NIST建議避免更改個人facebook密碼，除非存在洩露問題。另一方面，特權facebook密碼應定期更改（輪換）。最敏感的特權帳戶應使用一次性facebook密碼 (OTP) 或動態facebook密碼，每次使用後都會過期。

7. 實施多因素身份驗證

對於每個帳戶，尤其是特權帳戶和供應商/遠程訪問，單因素身份驗證（facebook密碼/用戶名對）是不夠的。添加其他身份驗證因素可大大加強保護，並增強對試圖發起訪問的身份的可信度。

多因素身份驗證 (MFA) 結合了終端或生物識別、身份驗證器應用程式等因素，通過要求額外的步驟來為身份驗證提供身份可信度，從而保護帳戶免受facebook密碼破解工具和猜測攻擊。話雖如此，某些形式的 MFA（如 FIDO2）比其他形式更強大，近年來的違規行為（例如通過MFA 疲勞攻擊）已經證明了這一點。

8. 員工或供應商離職時撤銷facebook密碼

前員工試圖繼續訪問組織的系統並不罕見。當員工離職時，請務必取消所有可能共享的系統的訪問權限並更改facebook密碼。這不僅可以防止員工的攻擊，還可以防止其他威脅行為者因入職、調職和離職過程中的故障而發現孤立帳戶和憑據。