關閉選單
  1. Home
  2. NEWS最新消息
  3. 事件與威脅
  4. 資訊安全
顯示分類
2026.02.10
事件與威脅/資訊安全
無需人工智慧的密碼猜測:攻擊者如何建構定向字典

密碼一直是可用性和安全性之間持續存在的矛盾點,旨在加強身份驗證的控制措施通常會增加複雜性,這促使用戶依賴熟悉的模式,而不是真正不可預測的憑證。在實踐中,這往往導緻密碼源自於組織自身的語言。

攻擊者早已熟知這種行為模式,並持續加以利用。許多憑證攻擊並非依賴人工智慧或複雜的猜測演算法,而是從更簡單的手段入手:收集上下文資訊並將其轉化為極具針對性的密碼猜測

諸如自訂單字清單產生器 (CeWL) 之類的工具使這一過程高效且可重複,而不會引入額外的技術複雜性,從而顯著提高成功率,同時降低噪音和檢測風險。

攻擊者的這種行為有助於解釋為什麼NIST SP 800-63B明確建議不要在密碼中使用特定於上下文的詞語,包括服務名稱、使用者名稱及其相關衍生詞。然而,要真正落實這項指導原則,就需要了解攻擊者如何在實際攻擊中建構和運用這些詞表。這種區別很重要,因為許多防禦策略仍然假設密碼猜測依賴廣泛的通用資料集

目標詞表的真正來源

CeWL 是一款開源網路爬蟲,它可以從網站提取關鍵字並將其編譯成結構化清單。它預設包含在 Kali Linux 和 Parrot OS 等廣泛使用的滲透測試發行版中,這降低了攻擊者和防御者的使用門檻。

攻擊者利用 CeWL 爬取組織的面向公眾的數位形象,並收集反映該組織對外溝通方式的術語。這通常包括公司服務描述、文件中出現的內部措辭以及不會出現在通用密碼詞典中的行業特定語言。這種方法的有效性不在於新穎性,而在於相關性。產生的詞表與使用者日常工作中遇到的詞彙高度吻合,因此更有可能影響密碼的建構。

從面向大眾的內容到密碼猜測

CeWL 可以配置為控制爬取深度和最小單字長度,從而允許攻擊者排除低價值的結果。透過這種方式收集的數據,會透過可預測的轉換形成逼真的密碼候選結果。例如,對於醫療機構(如醫院)而言,面向公眾的內容可能會洩漏機構名稱、機構位置資訊或其提供的服務或治療等資訊。

這些術語很少單獨用作密碼,而是作為基礎候選集,攻擊者會使用常見的模式(例如數字後綴、大寫字母或附加符號)對其進行系統性修改,以產生看似合理的密碼猜測。

一旦攻擊者取得了密碼雜湊值(通常是透過第三方資料外洩或資訊竊取程式感染),Hashcat等工具就會大規模應用這些變異規則。它可以有效率地產生數百萬個目標候選雜湊值,並針對洩漏的資料進行測試。

同樣的字典也可以用於攻擊即時身份驗證服務,攻擊者可能會依靠限速、計時或低速猜測技術來降低被偵測或帳戶被鎖定的可能性。

為什麼密碼複雜度規則仍然失效 (Why password complexity rules still fail)

一個關鍵挑戰是,以這種方式產生的許多密碼都符合標準的複雜性要求。Specops 對超過60 億個洩漏密碼的分析表明,即使組織機構已經制定了意識提升和培訓計劃,它們仍然難以區分密碼的上下文含義。當密碼由組織內部常用的語言構成時,增加密碼長度或增加字元種類並不能彌補高度上下文相關的基本術語所帶來的不確定性降低。

像 HospitalName123! 這樣的密碼更能清楚地說明這個問題。雖然它超過了 Active Directory 的預設複雜度要求,但在醫療保健環境中仍然是一個不夠安全的選擇。CeWL 衍生的單字清單很容易識別從公開內容中收集的組織名稱和縮寫,使攻擊者能夠透過最小和系統的修改獲得合理的密碼變體。

防禦針對性詞表攻擊

減少遭受基於單字清單的攻擊需要採取控制措施,這些措施不僅要關注密碼的複雜性,還要關注密碼的構造方式。

阻止基於上下文推斷的密碼和已知已洩露的密碼

防止使用者建立基於組織特定語言(例如公司和產品名稱、內部項目術語、行業詞彙和常見的攻擊者替換)的密碼,同時阻止已在資料外洩中出現的憑證。Specops 密碼策略可以強制執行自訂排除字典,並持續掃描 Active Directory,以偵測超過 54 億個已知洩漏的密碼,從而阻止 CeWL 風格的單字清單攻擊,並減少洩漏憑證的重複使用。


強制執行最小長度和複雜度

要求密碼短語至少包含 15 個字符,因為長度和不可預測性能夠提供最佳的防暴力破解保護,密碼短語是促使使用者建立強密碼和長密碼的最佳方式。

啟用多因素身份驗證 (MFA)

如果您還沒有採取任何措施,那麼這顯然是最佳的起點。不妨考慮使用簡單有效的 MFA 解決方案,例如Specops Secure Access,它可以保護 Windows 登入、VPN 和 RDP 連線。

雖然 MFA 不能防止密碼洩露,但它透過防止密碼被用作獨立的身份驗證因素,顯著降低了憑證洩露的影響。

使密碼策略與真實世界的攻擊保持一致

將密碼視為主動安全控制措施,而非靜態的合規要求。強制執行阻止使用上下文推斷、先前洩露或易於推斷的密碼的策略,可以降低攻擊者從定向字典中獲取的價值;而多因素身份驗證 (MFA) 則在憑證洩露時提供了必要的第二道防線。這些控制措施共同構成了更具彈性的身份驗證策略,反映了密碼攻擊的實際發生方式。


資料來源:https://www.bleepingcomputer.com/news/security/password-guessing-without-ai-how-attackers-build-targeted-wordlists/
 
分析攻擊者在不依賴 AI 的情況下,如何透過 OSINT 開源情報、社交工程及特定規則建構精準的目標密碼字典檔。