静态密码主要是指用户的账户密码、查询密码等基本固定的数字密码。一般而言,静态密码的使用存在以下几个安全隐患:
(1)为了便于记忆,用户多选择常用词或者号码作密码,攻击者会使用“字典攻击法”来破译,用字典中的单词来尝试用户的密码;同时也使用一种特殊的字典攻击法--穷举尝试法,使用字符串的全集作为字典,如果用户的密码较短,很容易被穷举出来,从而达到破译密码的目的;
(2)一个密码多次使用,容易被网络攻击者采用截取/重放的方式,对经过简单加密后传输的认证信息进行分辨,推算出用户的密码,造成无意泄露;
(3)由于当前通过网络传输的认证信息大多是未经加密的明文,黑客可以通过网络窃听的方法,分辨出认证信息,从网上或电话线上截获密码,可轻易获得用户的关键信息,达到攻击目的;
(4)密码自动破译工具使破解密码的时间大大缩短,甚至克服了密码加密的问题;
(5)攻击者通过社交手段冒充合法用户发送邮件或打电话给管理人员,以骗取用户密码。