暴力破解攻击
本文约需 2 分钟阅读
暴力破解攻击 (穷举攻击) 是一种机械地尝试密码的所有组合,直到找出正确答案的攻击手法。「brute force」意为「依靠蛮力」,被认为是破解密码和攻破口令时最原始却最可靠的方法。理论上只要有足够的计算资源,任何密码都能被攻破,但所需时间会随密码的长度和复杂度呈指数级增长。
历史背景
暴力破解攻击与密码分析的历史一同存在。第二次世界大战期间对恩尼格玛密码的破译,广义上也包含了暴力破解的要素。随着计算机性能的提升,1990 年代 DES 密码 (56 位密钥) 已可被暴力破解,从而推动了向更强大的 AES 的迁移。如今,借助 GPU 和云计算,攻击者的计算能力得到了飞跃式提升。截至 2024 年,使用最新的 GPU 每秒可进行数十亿次哈希计算,破解短密码瞬间即可完成。
暴力破解攻击与字典攻击的区别
纯粹的暴力破解攻击会从第一个字符开始依次尝试所有字符组合,而字典攻击则是优先尝试常用密码列表的一种变体。对于「password123」或「qwerty」这类简单密码,字典攻击要快得多。密码喷洒攻击是用少数常用密码对大量账户进行尝试的手法,其特点是容易规避账户锁定。在实际攻击中,这些手法会被组合使用。
攻击所需时间的参考
仅由小写字母组成的 6 位密码约有 3 亿种组合,现代 GPU 数秒即可破解。包含大写字母、小写字母、数字和符号的 12 位密码约有 475 京 (475 亿亿) 种组合,破解需耗费数千年以上。延长至 16 位则会产生天文数字般的组合数,实际上无法破解。请参考熵,生成强度足够的密码。
攻击手法的详情,可通过安全攻击手法解说书 (Amazon)学习。
现场使用案例
“在上个月的事件响应中,我们分析暴力破解攻击的日志后,确认到每小时超过 50 万次的登录尝试。引入限流刻不容缓。”
攻击的原理
有效的防御措施
应对暴力破解攻击最有效的措施是使用足够长且随机的密码。在 passtsuku.com 生成 16 位以上的随机密码,以现在的计算机性能破解将耗费天文数字般的时间。在服务端,账户锁定 (失败一定次数后临时停用账户)、限流 (限制尝试次数)、引入 CAPTCHA 都很有效。配合使用两步验证,即使密码被攻破也能防止非法登录。网络防御实践指南 (Amazon)也有助于理解防御措施。
这篇文章对您有帮助吗?