大多數人都意識到良好網路安全性習慣的重要性，但往往無法執行到位，導致自身容易遭受字典攻擊。儘管知道應保護自己的線上帳戶，許多人仍無法遵循簡單的指引，像是建立高強度密碼。事實上，一份 Google 研究發現，預估有 65% 的人會將相同的密碼用於多個帳戶。此外，59% 的人使用易於猜測或探索的個人詳細資訊當作密碼，例如寵物名稱或出生日期。

此外，人們通常會使用簡單而明顯的密碼，而這些密碼很容易就能破解。研究發現，“123456”和“qwerty”等鍵盤輸入以及“Password”、“iloveyou”和“Welcome”等語句都是最常用的密碼，也經常導致資料洩露的情況。

這意味著這些攻擊不僅極為普遍，而且非常成功，原因很簡單，那就是人們不太重視對字典攻擊的防範。

字典攻擊：定義

一種形式最簡單的字典攻擊是暴力破解攻擊，在這類攻擊中，駭客透過快速執行一連串的常用字詞、語句以及數字組合，企圖猜測使用者線上帳戶的密碼。當字典攻擊成功破解密碼後，駭客就能夠使用此密碼，存取銀行帳戶、社交媒體個人檔案，甚至是密碼保護檔案等資料。這就是字典攻擊對攻擊者的受害者的真正危害所在。

字典攻擊的運作方式為何？

這類駭客攻擊會使用系統性的方式來破解密碼。成功執行這些駭客攻擊基本上有三個步驟，而了解這些步驟對於學習如何防範字典攻擊很有用。

1. 攻擊者通常會建立預先定義的潛在密碼清單（暴力破解字典），內含常用的字詞及數字組合。
2. 自動化軟體會使用這個暴力破解字典，來嘗試和入侵線上帳戶。
3. 在字典攻擊順利入侵易受攻擊的帳戶後，駭客就會運用個人檔案中保存的任何敏感資料來達成目的。目的可能是為了進行詐欺、採取惡意行動或僅僅為獲利而存取帳戶。

在編譯潛在密碼清單時，攻擊者通常會使用常見的寵物名稱、知名的流行文化人物、或主要的運動隊伍和運動員等等。這是因為許多人會使用這類字詞來建立密碼，這樣的密碼對他們而言是有意義的，而且容易記憶。這份清單通常會包含這類字詞的變化，像是字詞的不同組合，或加入特殊字元。

使用自動化工具執行這份清單，也會讓字典攻擊更容易成功。同時使用密碼清單和自動化工具，可以大幅縮短嘗試破解密碼和入侵線上帳戶的時間。如果是手動操作，攻擊所需的時間會太久，如此就會讓帳戶擁有者或系統管理員有時間能夠發現攻擊和實施防禦措施。

這些字典攻擊因其運作方式，通常沒有個別的目標，而是採取廣撒網的方式，寄希望於清單上的其中一個密碼是正確的。然而，如果攻擊者鎖定的目標是特定的位置或組織，他們將建立更具針對性和本地化程度更高的字詞清單。例如，如果攻擊者計畫在西班牙執行攻擊，則他們可能會使用常見的西班牙語字詞，而不是英語字詞。或者，如果他們以特定的組織為目標，則可能會使用與該組織有關的字詞。

字典攻擊和暴力破解攻擊：兩者有何不同？

即便字典駭客攻擊是一種暴力破解攻擊，兩者也存在重大區別。字典攻擊會使用一份預設的字詞清單，以系統性的方式嘗試和破解帳戶密碼，而暴力破解駭客攻擊不使用清單，而是透過可能用來建立密碼的每個字母、符號和數字的隨機組合來執行。因此，字典攻擊通常可能更為有效，成功率也較高，單純是因為這樣的攻擊需嘗試的組合少很多。

若要成功，暴力破解攻擊執行時必須執行的可能組合（26 個字母和 10 個個位數數字：總共 36 個字元），幾乎是天文數字。舉例來說，暴力破解攻擊若要破解包含 10 個字元的密碼，就需嘗試 3.76 千萬億個潛在字母數字密碼。

不過，暴力破解攻擊的優點在於，這類攻擊比較可能透過其試錯法，來破解出難以破解的唯一密碼。由於這類攻擊所使用的可能密碼清單較全面，因此最終比較有機會能夠找到任何給定密碼的適當字元組合。

如何防範字典攻擊

了解什麼是字典攻擊以及其運作方式，是防範這類攻擊發生的一項措施。但要加強對字典攻擊的防範，以下建議可能會有所幫助：

1. 盡可能避免使用密碼：避免字典駭客攻擊的最簡單且最可靠的方法，便是徹底避免使用密碼。如果情況允許，請使用無密碼驗證方案和生物辨識登入，來確保帳戶的安全。
2. 使用隨機密碼：建立密碼時，嘗試避免在密碼中包含您的個人詳細資料，例如出生日期、寵物名稱和其他可輕易探索的資訊。密碼管理器有助於以安全的形式建立、保存和輸入密碼。
3. 避免顯而易見的組合：令人意外的是，許多人都使用簡單、易於破解的字詞和數字組合，例如“Password123”或“abcd1234”。這類密碼都容易遭到破解，因為字典攻擊是專為破解這些易於猜測的密碼而設計。
4. 挑選密碼片語：與其挑選字詞和數字組合作為密碼，不如建立完整的片語來存取帳戶。這類密碼的猜測難度大幅提升，但對於使用者來說較容易記憶。例如，喜歡足球的人可能會使用“I want to be a linebacker for the Patriots”這樣的語句。若要提高密碼片語的破解難度，請新增隨機的數字、字元和大寫字母，將其變成“IW@nT2B@L!n3B@ckER4THEPatr!0tS!”。
5. 使用雙重因素驗證：設定帳戶，讓每次登入都需要雙重（或更多）因素驗證。例如，密碼、驗證應用程式所產生的一次性密碼和指紋。
6. 嘗試驗證應用程式：可能的話，請嘗試使用驗證應用程式取代密碼或兩者並用。許多這類應用程式都可以輕鬆地下載到行動電話並連結至特定帳戶，並為每次登入嘗試提供隨機產生的一次性密碼。
7. 限制登入嘗試：某些網站和應用程式現在會限制在特定時段中允許登入嘗試的次數。如果系統提供這類選項，請在每個帳戶中加以啟用，以避免字典駭客攻擊。
8. 強制重設：字典駭客攻擊往往依賴多次嘗試來破解密碼。透過在嘗試失敗達到一定次數後強制重設密碼，將成功攻擊的可能性降到最低。如果強制重設不是您可以在帳戶上自動啟用的選項，您可以透過讓線上帳戶在發生失敗登入嘗試時寄送電子郵件給您，來實施需要較多人工介入的版本。如果您收到通知，得知有人嘗試存取帳戶，特別是短時間內連續收到數封這類通知，您可以前往查看並變更密碼，來確保帳戶的安全。
9. 避免使用特定字詞：避免在所有密碼中使用常用字詞，來為帳戶的安全性增加額外一層保護。

密碼管理器是否有助於防範字典攻擊？

密碼管理器這個方法可能很實用，可安全地管理帳戶憑證，並將遭受字典駭客攻擊的可能性降到最低。Kaspersky Password Manager 這類的應用程式提供多種優勢，有助於保護密碼。以下是考慮使用密碼管理器的部分原因：

• 僅需使用一種密碼：透過密碼管理器，您只需記憶一組主密碼，即可登入帳戶並管理個別帳戶的所有其他登入。
• 產生高強度的隨機密碼：大多數程式都允許使用者建立強度非常高、隨機產生的密碼。因為這類密碼不會使用常見的字詞或語句，通常能在字典駭客攻擊時安然無恙。當然，暴力破解攻擊仍可能會成功。
• 輕鬆存取帳戶：密碼管理器通常能夠將登入詳細資料安全地保存在每個個別帳戶中，接著，在每次嘗試登入網站、帳戶或應用程式時自動填入這些詳細資料。
• 安全地共享密碼：如果需要與朋友、家人或同事等共享帳戶密碼，則密碼管理器可讓使用者安全地做到這一點，同時還能管理存取權限。
• 使用安全的儲存方式：許多密碼管理器現也提供以加密格式保存個人文件、醫療記錄和相片等資料的功能，來確保所有敏感資料的安全。

採取防範字典攻擊的措施

字典駭客攻擊是非常常見的網路犯罪類型，駭客會使用這類攻擊來存取個人的私人帳戶，包含銀行帳戶、社交媒體個人檔案和電子郵件。駭客能夠透過這類存取做出各種犯罪行為，從財務詐欺和惡意社交媒體貼文，到網路釣魚等進一步網路犯罪。然而，字典攻擊防範可以很簡單，只需實施某些保護措施，就能將遭受這些攻擊的風險降到最低。例如，養成良好的密碼管理習慣、運用不同類型的驗證，使用快速可用的密碼管理器，都有助於確保密碼和帳戶的安全。

Kaspersky Endpoint Security 榮獲 2021 年企業端點安全產品最佳性能、保護和可用性三項 AV-TEST 獎項。在所有測試中，Kaspersky Endpoint Security 都展示了為企業設計的出色性能、保護和可用性。

相關產品和服務：

• 卡巴斯基專業版
• Kaspersky Password manager