Facebook駭客破解,我在一家公司擔任內部系統工程師,團隊大概有10個人,主要負責與安全相關的事務。
雖然我現在的工作內容是安全,但我學生時代對安全完全沒興趣,連密碼管理這種事都懶得做。
我學生時代開設的 Facebook 帳戶閒置了近 10 年,但在 2023 年初左右被駭客入侵並被盜用。
還好剛開帳號的時候好友為零,只不過多了一些不認識的外國朋友,所以損失不算大。
我設法刪除了我的帳戶,一切正常。回想起來,這對我來說是一次很好的經歷,讓我意識到真正弱的密碼也是可以被破解的。
Facebook駭客破解,這次就由我這個目前從事安全工作的來給大家介紹一下密碼的要求和如何管理密碼。
本文寫於2023年5月28日。
當您繼續閱讀時,請記住我們對密碼的處理方式會隨著時間而改變。
安全密碼的要求及其管理方法
我的 Facebook 密碼是 11 個小寫字母“ledzeppelin”,以英國搖滾樂隊的名字命名。
什麼是安全密碼?
最重要的是,您的密碼至少應包含10個字符,並包含大小寫字母、數字和符號。此外,建議您不僅要增強密碼強度,還要使用多重身份驗證。
據美國安全廠商HOME SECURITY HEROS稱,「ledzeppelin」的密碼可在23小時內被破解。
每個國家都制定了自己的有關安全密碼要求和儲存方法的政策。
首先,總務省「面向公眾的網路安全網站」建議,為了設定安全的密碼,應避免以下情況:
- 您的名字、姓氏或寵物的名字
- 一個可以在字典中找到的常見英語單字
- 一個易於理解的重複相同字串序列的字串
- 字串太短
- 不要使用容易猜到的排列或組合
「齊柏林飛船」違反了第二條。
日本內閣官房網路安全中心發布的《網路安全手冊 Ver.5.0》建議密碼至少10位,包含大小寫字母、數字和符號的混合。
根據上述 HOME SECURITY HEROS 網站的數據,如果密碼由大小寫字母、數字和符號組合而成,破解一個 10 個字元的密碼需要五年時間。如果使用一個眾所周知的單詞,破解時間可能更短,但隨機字串的安全性更高。
事實上,我創建密碼的標準是至少有 10 位數字,並包含大寫和小寫字母、數字和符號。
此外,人們在創建密碼時,往往會使用自己熟悉的單字或遵循某些規則。為了避免這種情況,您可以使用類似這樣的密碼產生器。
我們可以為你破解各類社交密碼,如line密碼,line監控,line監聽,instagram密碼破解,facebook密碼破解,Twitter密碼破解,手機定位,手機監控,電郵密碼破解,婚外情調查,小三調查,出軌調查,手機line簡訊查詢,手機密碼解鎖
如有需要,請直接聯絡line:hack2900
電郵:hack2900@hotmail.com http://www.hk2900.com
如果您的密碼是隨機的,那麼將很難記住它們,因此使用密碼管理工具是個好主意。
就我個人而言,我認為您不需要使用付費工具;我只是讓瀏覽器記住。
付費工具提供密碼加密、雲端集中管理等多種功能,但價格昂貴,難以普及。而瀏覽器最大的優勢在於免費,任何人都可以立即管理自己的密碼。
「我不相信瀏覽器能記住我的密碼,所以我就全部記住!」這種方法的優點是,由於密碼不會被存儲,所以不存在洩露的風險。然而,隨著密碼數量的增加,管理起來會變得越來越困難,而且有重複使用密碼的風險。
與其重複使用它們,不如讓你的瀏覽器記住它們。
但是,請注意,內閣秘書處網路安全中心不建議將該文件保存在瀏覽器中。
如果您打開電腦並離開辦公桌,任何人都可以輕鬆取得您的密碼。
攻擊者如何破解密碼?
接下來,我們將向您展示攻擊者如何破解密碼。
一個非常簡單的方法就是暴力攻擊。
這是一種使用固定ID,在嘗試登入時反覆更改密碼的攻擊方法,理論上ID和密碼最終會匹配,認證成功。
然而,這種方法很容易被反制:只需將帳戶設定為在多次輸入錯誤密碼後鎖定即可。事實上,這種設定被廣泛採用。
更可怕的是反向蠻力攻擊,也就是反向蠻力攻擊。
密碼固定,ID更改,由於一個ID只有一次認證失敗,所以不需要鎖定。
在我之前的公司,我們的遠端工作 VPN 帳戶每天受到大約 100 次攻擊。
日誌將告訴您嘗試登入時使用的 ID 和密碼。
人們嘗試使用「vpn」、「admin」、「administrator」、「test」和「user2」等常用字詞作為 ID 登入。
如果有人登入並遠端連接,他們可能會竊取您的文件,加密它們,並要求金錢……這非常可怕。
採取假設密碼將外洩的措施
即使你設定了複雜的密碼,也並非完全安全!我們建議你採取預防措施,避免密碼外洩。
如果密碼洩露,認證將一次成功,無需任何暴力破解。
以下行為可以作為密碼外洩的原因:
- 放下寫有密碼的紙
- 你的螢幕正在被監視
- 公司洩漏帳戶資訊和密碼
其中最常見的就是有人偷看你的螢幕。如果你想看,你可以看到螢幕,或是在咖啡館工作的人的手。
因此,我們建議採用多因素身份驗證,假設密碼會外洩。
多因素身份驗證是一種結合了以下內容的身份驗證方法:
- 您知道的資訊:(例如密碼)
- 你擁有的東西:(例如智慧型手機)
- 個人資訊:(例如指紋或臉部)
Facebook 允許使用密碼和智慧型手機上的身份驗證應用程式進行雙重認證。
您也可以設定簡訊身份驗證,但過去曾發生過一種名為「SIM卡劫持」的攻擊,導致SIM卡的註冊資訊被改寫,從而導致身份驗證被突破。因此,我們建議您使用身份驗證應用程式。
我知道加強安全性可能會很麻煩,因為它會增加所需的工作量,但強烈建議您設定多因素身份驗證。
我還盡可能嘗試設定多因素身份驗證。
密碼是如何隨時間變化的
一開始我就說過,我們對密碼的思考方式是隨著時代而改變的。
例如定期更改密碼。以前建議定期更改密碼,但現在不更改密碼已經成為標準。我記得以前也這樣做過。
建議定期更改密碼的主要原因是為了防止未經授權使用密碼。
如果您每 30 天變更一次密碼,被竊的密碼最多只能使用 30 天。
不幸的是,定期更改密碼非常麻煩,人們往往會忽略它。
當我回想起過去的自己時,我所做的改變幾乎毫無意義,例如簡單地將“ledzeppelin”改為“ledzeppelin1”、“ledzeppelin2”和“ledzeppelin3”。
最好不要做任何改變,以免經歷不必要的工作。
此外,如果您總是使用強密碼,例如“R6zcPQ#UeNTm”或“A*asQimA5&&s”,定期更改它們也可能有效。
藉此機會檢查一下您的密碼是否弱。
我們解釋瞭如何建立和使用密碼。
我認為現在沒有人不使用密碼。
智慧型手機、個人電腦、個人編號卡等很多東西都受密碼保護。
特別是,如果您已經使用某項服務很長時間,您可能會設定一個弱密碼,這是基於安全性沒有那麼受重視的時代的老式心態。
我十多年前開始使用的 Facebook 就是一個很好的例子。
在您的帳戶被駭客入侵之前,請再次檢查以確保您沒有使用弱密碼。
