揭秘破解密码的常见方法和手段

前言
今天小编就帮粉丝朋友科普一下，破解密码的常见方法和手段，希望看到本文的粉丝朋友，给小编点赞支持支持一波

键盘监听木马
键盘监听病毒在网吧中非常流行，它在启动后会监听用户的键盘输入事件，如果有人使用账号密码登录，那么他所按下的每一个键都会被记录下来，被发送给别有用心的人。再通过两次按键的时间差，或者根据回车、tab这些标志性按键，就可以大致推断出账号和密码。

暴力破解
暴力破解就是通过不断穷举可能的密码，直至密码验证成功，暴力破解分为密码爆破和密码喷洒，密码爆破就是不断的去尝试不同的密码，密码喷洒就是通过已知密码不断去尝试账号。下面介绍6款常见的暴力破解工具。

01、hydra

Hydra（九头蛇）是THC组织开发的，是一款非常流行的密码破解工具，可以对多种服务的账号和密码进行爆破，包括 Web 登录、数据库、 SSH、 FTP 等服务，支持 Linux、Windows、 Mac 平台安装，其中 Kali Linux中自带 Hydra。

官网:https://www.thc.org

github:https://github.com/vanhauser-thc/thc-hydra

02、xhydra

xhydra是图形化暴力破解软件，支持FTP、MYSQL、TELNET、SSH等众多协议破解，kali自带工具。

03、Medusa

Medusa(美杜莎)是一个速度快，支持大规模并行，模块化的爆力破解工具。可以同时对多个主机，用户或密码执行强力测试。Medusa 和 hydra 一样，同样属于在线密码破解工具。

官网：http://foofus.net/goons/jmk/medusa/medusa.html

github：https://github.com/jmk-foofus/medusa/archive/2.2.tar.gz

04、pydictor

pydictor是使用Python语言开发的自动化工具,可构建功能强大且相关性更高的词表。

https://github.com/LandGrey/pydictor/blob/master/docs/doc/usage.md

05、burpsuite

burpsuite是web渗透必用工具，暴力破解是其中一种功能。

06、hashcat

Hashcat 是一款用于破解密码的工具，据说是世界上最快最高级的密码破解工具，支持 LM 哈希、MD5、SHA 等系列的密码破解，同时也支持 Linux、Mac、Windows 平台。

官网地址：https://hashcat.net/hashcat/

github：https://github.com/hashcat/hashcat

总之，暴力破解需要字典，需要计算资源，如果是碰到登录网站有验证码（验证码有不同类型），尝试登录次数限制等限制暴力破解的防护机制，就无能为力了。

钓鱼攻击
通常攻击者会搭建与目标站点相同的钓鱼网站。当用户输入后，账号和密码直接保存到攻击者的数据库中。在后面将恶意url通过二维码和短链接伪装。危害极大！

爬虫收集
在网络上，攻击者可以通过爬虫的方式收集你的有关信息。到今天每个人都会在互联网留下痕迹。通过爬虫可以获得某些敏感信息和已泄露的密码。

信息泄露
正如前者所说，我们在网络购买商品、快递、交友等等。都会注册相应的账号，有时候为了方便，我们都会用一个密码，但是因为其中一个站点的安全问题，造成我们账号和密码的泄露。攻击者会利用这些泄露站点的账号和密码在其他网站进行尝试。俗称“撞库”。

AI
通过对你的屏幕进行文字识别（OCR）,将你的聊天记录、操作记录、账号、密码等进行记录。并发送到攻击者！这种攻击更加隐匿、更加危险。

硬件支持
攻击者为了方便，往往会在你的键盘、手机、摄像头等添加恶意监听硬件。将你的输入信息通过物联网进行发送。

社工
攻击者伪装成为客户、向你索要验证码。从而修改你的账号密码，造成财产损失。

网安&黑客学习资料包

基于最新的kali讲解，循序渐进地对黑客攻防剖析。适合不同层次的粉丝。我希望能为大家提供切实的帮助，讲解通俗易懂，风趣幽默，风格清新活泼，学起来轻松自如，酣畅淋漓！

学习资料工具包

压箱底的好资料，全面地介绍网络安全的基础理论，包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等，将基础理论和主流工具的应用实践紧密结合，有利于读者理解各种主流工具背后的实现机制。

面试题资料

独家渠道收集京东、360、天融信等公司测试题！进大厂指日可待！

因篇幅有限，仅展示部分资料，需要可扫描下方卡片获取~