【安全资讯】攻击者如何构建针对性密码字典：无需AI的精准密码猜测攻击剖析

概要：

在网络安全领域，密码安全始终是防御的第一道防线，但其有效性正受到日益精进的攻击手段的挑战。近期，一种不依赖人工智能、而是通过构建高度针对性密码字典进行攻击的方法备受关注。这种方法利用公开信息，极大提升了密码猜测的成功率，对依赖传统密码策略的组织构成了严重威胁，凸显了更新防御理念的紧迫性。

主要内容：

攻击者构建针对性密码字典的核心工具是CeWL（自定义单词列表生成器）。这是一款开源网络爬虫，默认集成于Kali Linux等渗透测试系统中，可自动爬取目标组织的公开网站、文档等数字资产，提取公司名称、服务描述、行业术语等特有词汇。这些词汇构成了初始的候选词库。

攻击者随后会对这些基础词汇进行系统化变形，例如添加数字后缀（如“123”）、改变大小写或附加符号（如“!”），从而生成大量看似复杂、实则与目标组织语境高度相关的密码变体。例如，针对一家医院，“HospitalName123!”这样的密码虽满足常规复杂度要求，却极易被此类攻击猜中。

攻击实施时，攻击者通常先通过第三方数据泄露或信息窃取恶意软件获取到密码哈希值。然后使用Hashcat等工具，将生成的针对性字典与变形规则结合，对哈希值进行高效批量破解。此方法也可用于针对在线认证服务的“低慢速”攻击，以规避检测和账户锁定机制。

防御此类攻击需超越传统的密码复杂度规则。关键措施包括：使用专业工具（如Specops Password Policy）阻止用户创建基于组织特定词汇的密码，并实时拦截已知泄露的密码；推行至少15位的长密码或密码短语；以及强制实施多因素认证（MFA），即使密码被破解也能有效阻止未授权访问。这些措施共同构成了应对现实密码攻击的弹性认证策略。