字典攻击
本文约需 2 分钟阅读
字典攻击 (Dictionary Attack) 是指利用字典中收录的单词或常用密码列表来猜测密码的攻击手法。与暴力破解攻击尝试所有组合不同,字典攻击将范围缩小到人们容易选择的密码,从而高效地进行尝试。诸如「 password 」「 123456 」「 qwerty 」等常见密码会在数秒内被攻破。 2024 年的 NordPass 调查也显示,「 123456 」依然是最常被使用的密码,字典攻击的有效性丝毫未减。
现场使用案例
“在渗透测试中实施字典攻击后,500 名员工中有 47 人的密码在 10 分钟内被破解。大部分都是包含公司名或生日的模式,我们强烈建议改用随机生成。”
字典攻击的手法与演进
基本的字典攻击会直接尝试单词列表,而高级手法则会应用转换规则,例如在单词末尾附加数字、转换大小写、将字符替换为符号 (例如:a → @, e → 3) 等。过去数据泄露中流出的数十亿条密码列表也会被用作字典。现代字典攻击工具利用 GPU,每秒可进行数十亿次尝试。密码攻击书籍 (Amazon)可用来学习攻击手法。
与暴力破解攻击的区别
暴力破解攻击会像从「 aaaa 」到「 zzzz 」那样穷举所有组合,因此理论上可以破解任何密码,但对于较长的密码则需要耗费巨量时间。字典攻击因为将尝试范围限定在人们容易选择的模式上而速度很快,但对随机密码却无能为力。在实际攻击中,通常先尝试字典攻击,失败后再切换到暴力破解。此外,密码喷洒攻击是一种变种,它用少量密码尝试大量账户,以规避账户锁定。
针对字典攻击的对策
随机生成的密码完全不使用字典中收录的单词或模式,因此对字典攻击具有极高的抵抗力。人类构思的密码往往会在无意识中包含字典里的单词或模式,而随机生成的密码则没有这种偏向。在服务提供方,限制登录尝试次数、引入 CAPTCHA、与泄露密码列表进行比对都是有效的防御措施。安全密码创建指南 (Amazon)也可作为参考。
这篇文章对您有帮助吗?