[Day3] 资讯安全的攻击与威胁-恶意程序及密码破解

今天研究的攻击威胁类型是恶意程序和密码破解。

恶意程序

恶意程序是攻击者设计用来破坏目标对象的电脑设备、监看设备上的操作、收集窃取机密资料、操控受感染的设备来攻击其他目标。这些恶意程序也分成很多类型，常见的有：病毒(Virus)、蠕虫(Worms)、木马(Trojans)、间谍程序(Spyware)、勒索程序(Ransomware)等等。像最近在新闻上看到Apple因为间谍软件的关系针对iOS版本进行安全性更新、内含蠕虫的驱动程序拥有微软的凭证签章、Android免费App内藏木马程序。这些都是因为恶意程序引发的资安问题，有些是个资泄漏，有些则是造成企业名誉或财务上的损失。

因为网路攻击和恶意程序扩散十分频繁和常见，因此养成好的资安意识及操作习惯我觉得也是很重要的一件事。例如针对恶意程序的防范：如果是已知或常见的恶意程序一般可以透过防毒软件来防御，平时也要小心网路上的各种钓鱼，避免点击不确定来源的连结或下载可疑档案。

另外在这篇文章─恶意软件─中有针对常见恶意程序的类型做说明和如何降低风险；另外这篇铁人赛系列文─资事体大 毒挡一面 - 资安防护深入浅出 系列─也有很多种病毒的介绍，并解释这些病毒进行破坏的方式，是很有趣又很多知识的系列文。

密码破解

除了钓鱼和恶意程序能取得目标用户的密码之外，也有透过密码破解的方式来取得目标用户的权限进行攻击。破解密码的方法就有很多种，例如：密码喷洒(Spraying)、字典破解(Dictionary)、暴力破解(Brute force)、彩虹表(Rainbow table)。密码喷洒是用最常见的密码去尝试各个服务；字典破解则是使用已知的密码当做资料进行破解；暴力破解则是用各种组合一组一组去尝试密码是否正确。

之前参加过一场讲座，主题就是讲密码设定时的注意准则。除了目前普遍服务会要求的英数字、大小写、特殊符号以及至少12位长度的条件之外，也建议至少三个月更新一次密码，以及不使用含有个资资讯或是有规则的方式设定密码。另外更保险的方式是设定多因子登入验证，例如手机/email接收验证码後输入，确认为本人登入。这些方式能让帐号密码复杂度提高，也透过定期更新密码增加密码安全性，避免密码外泄後又被用到其他服务的帐户上。

延伸阅读

(1) iOS安全机制不敌骇客攻击！iPhone遭植入飞马间谍软件
(2) 以驱动程序型态存在的恶意蠕虫Netfilter，惊传内含微软签署的凭证，微软公布初步调查结果
(3) Android 新木马病毒藏身免费 App，已挟持数千个 Facebook 帐号
(4) 数位监识人员为什麽能破解我密码