近年来，随着数据的重要性的逐步提高，以及各种工具技术的产品化，利用先进的攻击手段长期、有计划性和组织性地对特定目标进行窃取数据的行为越来越泛滥。

近期，一种称为“密码喷洒”的攻击手段逐步被广泛使用，它是指利用单个常用或精心构造的密码对多个账户进行登录尝试，然后如次往复，直至成功获取账号密码。

密码喷洒的攻击手段可以分为以下步骤

步骤一

黑客组织需要构建一个账号集。一般而言，可以通过网络在该组织的各类公开信息中寻找蛛丝马迹，获取这个组织的各类账号的信息。甚至有的时候无需获取实际的账号，可以通过已知的账号中明确存在某种规律来进行生成账号。

步骤二

接下来，黑客组织可以进行构造一个密码集。密码集中包含的首先是弱密码，即容易破译的密码，多为简单的数字组合、帐号相同的数字组合、键盘上的临近键或常见姓名，甚至于初始密码等等。

此外，“机构名”+“电话号码”等密码看似复杂，但也很容易被列入黑客构造的密码集中。

步骤三

这个时候，黑客组织已经集齐账号集和密码集，下一步就可以正式开展“密码喷洒”的攻击了。

黑客组织可以使用专用的工具，使用第一个密码，逐一对所有的账号进行登录尝试，在失败之后，再换第二个密码，如此反复。实际上，在第一个尝试成功的账号成功起，“密码喷洒”的攻击已经完成了，而黑客组织窃取信息的动作才刚刚开始。

步骤四

下一步，黑客会通过获取的账号密码潜伏下来，化身一个数据“间谍”，不断进行侦察、数据窃取和渗透，直至获取想要的信息。很多被侵入的系统往往难以及时察觉，往往需要在被潜伏数月后能发现。

“密码喷洒”之所以屡屡奏效，从技术的角度而言，是由于目前的密码锁定策略，往往是对短期内多次尝试登录失败的账号进行锁定，而“密码喷洒”对单个账户而言，登录尝试间隔较长，因此能够有效规避一般的账户锁定策略。

了解完“密码喷洒”的套路后，我们又能做哪些防范呢？

对于系统维护和安全部门而言

一是要进一步强化账号登录检测，加强对整体登录失败率明显上升、存在大量错误的用户名等现象的审查力度，对可能被攻击成功的账号进行密码重置。

二是要进一步严格执行合理的密码安全策略，制定完善弱密码杜绝、密码定期更换、密码锁定以及多因素身份验证机制等安全策略。

三是要加强全体用户的密码安全培训，全面杜绝使用弱密码等行为，全面提高用户的安全防范意识，确保堵塞漏洞。

对于用户个人而言

最简单的方法，无非就是修改自己目前还在使用的弱密码和单位+电话等看似复杂容易被猜测出来的密码。此外，开启多因素身份验证机制等选项，也能够很好提高自己的账号的安全性。

由此可见，弱密码百害而无一利，为了防止黑客对你的弱密码下手，密仔在这里提醒大家，做到保密防谍，及时更改弱密码，设置长度大于8位的高强度密码。

同时，切忌“一套密码走天下”，妥善保管好自己的密码，不对外泄露，别让数据“间谍”有机可乘！