什么是蛮力攻击?如何保护自己免受他们侵害

如果您已阅读安全文章或听说过重大漏洞,则可能听说过“暴力攻击”一词。但是您可能并不确切知道这意味着什么。

让我们逐一介绍一下什么是蛮力攻击,它们通常如何工作以及如何保持不受攻击的保护。

蛮力攻击的基础

从根本上讲,暴力攻击非常简单。暴力破解密码是指猜测每种可能的组合,直到最终找到答案为止。尽管您可以手动执行此操作,但不久之后,它显然变得乏味。

因此,在大多数基本的暴力攻击中,计算机程序尝试通过遍历特定数目字符的所有可能组合来猜测密码或加密密钥。

例如,假设您编写了一个试图强行使用四位数iPhone密码的实用程序。这会,并依此类推,直到所有的方式得到了9999开始通过猜测0000,然后0001,然后0002,0003

同样的原理适用于更复杂的密码。尝试破解具有六个字母数字字符的密码的蛮力算法可能以aaaaaaaaaaabaaaaac等开头。然后,它将继续包括数字(可能还有大写字母),例如aabaa1aabaa2aabaa3等。这将经历数字和字母的所有可能的六个字符的组合,直到zzzzzzzzzzz1等等。

还有一种称为反向蛮力攻击的相关技术,其中您可以针对许多不同的用户名尝试一个通用密码。这不太常见,更难以成功使用,但是它可以解决一些常见的对策(我们将在后面讨论)。

相关:什么是密码喷涂?如何对您使用密码?

显然,这不是猜测密码的好方法。从理论上讲,如果您有足够的计算能力和时间,则可以使用蛮力猜测任何密码。但是,如果您尝试破坏短而简单的密码之外的其他任何东西,则蛮力攻击效率很低。暴力破解一个强大的密码需要花费大量时间和大量的计算能力。

如您所料,密码破解方案已变得比这更加复杂。

先进的蛮力攻击

由于暴力攻击在用于除简单密码之外的任何其他密码时都受到限制,因此黑客有办法加以改进。

例如,字典攻击不仅会遍历所有可能的字符组合。取而代之的是,它使用预编译列表中的单词,数字或字符串组成的字符串(通常是从常见的泄露密码列表中获取)。由于这些密码非常普遍,因此很可能会提供其他帐户的输入。

阅读更多:常见的密码错误可能会导致您被黑客入侵

例如,在进行标准的暴力攻击之前,字典攻击可能会尝试使用许多常见的密码,例如“ password”,“ 123456”,“ letmein”等等。或者,也可以将当前年份添加到尝试输入的所有密码的末尾,然后再输入下一个密码。

字典攻击极大地减少了罕见的密码组合。这很有意义-对于基本的八个字符的密码,某人更可能使用“ dogs1234”而不是“ zp1vg8el”。通过首先关注更可能的组合,可以减少暴力破解所花费的时间。

存在多种使用蛮力攻击的方法,但是它们都依赖于尽快尝试大量密码,直到找到正确的密码为止。有些需要更多的计算能力,但可以节省时间。其他攻击速度更快,但是在攻击过程中需要大量资源。

蛮力攻击危险的地方

从理论上讲,暴力破解攻击可以在具有密码或加密密钥的任何帐户或其他平台上使用。但是,许多可以工作的地方通常都会采取有效的对策,如下所述。

如果您丢失了数据并且恶意行为者掌握了该数据,那么您将遭受暴力攻击的最大危险。一旦其他人的计算机上有东西,您的计算机或在线设备上的某些防护措施就可以被规避。

一个不法之徒怎么可能将您的数据存储到他们的计算机上?当闪存驱动器从口袋里掉出来时,您可能会丢失它。也许您将手机留在Uber上了。被黑的云服务可能会将您的某些文件暴露给其他人,或者恶意软件可能在您不知情的情况下将您的数据复制到其他人的计算机上。

关键是,尽管蛮力攻击在某些地方没有效果,但黑客仍然可以通过多种方式将其部署到您的数据上。为避免暴力攻击可能破坏数据保护的情况,您应密切跟踪设备和文件的位置。

防范暴力攻击

网站和其他工具可使用多种防御手段来抵御暴力攻击,以及保护自己免受暴力攻击的方法。

服务如何防范暴力攻击

锁定是最简单,最常用的保护措施之一。这样,如果您多次输入错误的密码,该帐户将拒绝接受更多的登录尝试。要重试,您需要联系客户服务或等待一定时间。

这可以阻止暴力攻击,而不是在几分钟内尝试数千种组合,而必须等待10分钟或一个小时才能继续尝试,这将阻止可能的黑客。

网站还可以阻止带有CAPTCHA挑战或类似挑战的暴力攻击。每次您想尝试输入密码时都必须填写一个验证码,这会大大减慢该过程,从而破坏了这一点。

但是,这两种方法都无法抵抗反向蛮力攻击。这些攻击仅对每个帐户进行一次密码测试失败,这可能不足以触发保护。

值得注意的是,尽管这些策略对于避免暴力攻击非常有效,但它们还提供了其他攻击站点的方法。例如,如果对一个在五次错误尝试后锁定帐户的站点发起了暴力攻击,则其客户服务团队可能会充斥来自合法用户的呼叫,从而减慢了其运行速度。

试图通过暴力手段压倒现场的站点也可以用作分布式拒绝服务攻击的一部分

如何保护自己免受暴力攻击

两因素身份验证是一种强大的保护自己免受标准和反向蛮力攻击的方法。使用两因素身份验证(2FA),即使黑客确实猜出了正确的密码,也必须输入其他代码才能阻止攻击者访问您的帐户。

但是,到目前为止,保护自己免受暴力攻击的最简单方法是使用长密码。随着密码长度的增加,猜测所有可能的字符组合所需的计算能力呈指数增长。

考虑一下之前的iPhone密码示例。较旧的iOS版本使用四位数的PIN码,该密码有10,000种可能的组合。但是,现代的iOS版本默认使用六位数的密码。这将可能的组合数量增加到一百万。

在这两种情况下,某人都不太可能真正强行使用您的iPhone密码,这在一定程度上要归功于一些错误的猜测之后发生的锁定。但是您可以看到,仅再增加两个数字,保护系数就会增加100倍。

除了长度外,复杂的密码也很难强行使用。如果有人想破坏密码并且知道密码只有小写字母,他们可以跳过许多可能的组合。但是使用相同的密码长度(包含数字,大写字母和符号)将使暴力破解密码的时间增加几个数量级。

使用安全密码-理想情况下是使用密码管理器,因此您不必全都记住它们-并且几乎可以免受暴力攻击。一个由12个字符组成的密码(使用大写和小写字母,数字以及18个符号的库)将有超过68种六十亿分之一的可能性。这将需要数个世纪的蛮力。

在某些情况下,蛮力攻击可能有效

这类攻击非常简单且微不足道-毕竟出于某种原因,其名称是“蛮力”。现在您知道了暴力攻击的工作原理以及如何保护自己免受攻击,因此您不必担心太多。

使用强密码,不要让您的数据保存在不受暴力对策保护的地方。但是,请不要忘记还有其他方法可以破坏密码。