如果您定期阅读我们的安全性文章(例如关于测试密码强度的文章),您可能已经听说过“暴力攻击"一词。但是,这到底是什么意思?它是如何工作的?以及如何保护自己免受侵害?这是您需要知道的。
暴力攻击:基础知识
当涉及到这种情况时,暴力攻击确实非常简单:计算机程序尝试猜测密码或通过迭代一定数量字符的所有可能组合来获得加密密钥。例如,假设您编写了一个试图暴力破解四位数iPhone密码的应用。可能会猜测到1111,然后是1112,然后是1113、1114、1115,依此类推,直到达到9999。
相同的原理可以应用于更复杂的密码。蛮力算法可能以aaaaaaa,aaaaab,aaaaaac开头,然后通过数字和字母的所有六个字符组合(直到zzzzzz,zzzzz1等)进行诸如aabaa1,aabaa2,aabaa3等的操作。
还有一种称为反向蛮力攻击的技术,其中针对许多不同的用户名尝试使用一个密码。这不太常见,更难以成功使用,但确实可以解决一些常见的对策。
如您所见,这是猜测密码的一种不太巧妙的方法。但是,从理论上讲,如果您具有足够的计算能力和能量,则可以猜出任何密码。但是,如果您使用的不是短而简单的密码,则无需担心,因为猜测一个较长的密码将需要大量的计算能力,并且需要大量的精力,并且可能需要花费数年的时间。
高级蛮力攻击
由于对除非常简单的密码之外的任何事物的蛮力攻击效率低下且费时费力,因此黑客提出了一些使它们更强大的工具有效。
例如,字典攻击不仅会遍历所有可能的字符组合,而且还会迭代遍历所有字符。它使用预编译列表中的单词,数字或字符串,黑客认为该列表至少比平均出现在密码中的可能性更高(这是可以通过相当简单的网络渗透来进行的攻击测试软件)。
例如,字典攻击可能会在进入标准的蛮力攻击之前尝试使用多种常见密码,例如“ password",“ mypassword",“ letmein"等。 。否则可能会在尝试输入下一个密码之前,在尝试输入的所有密码的末尾添加“ 2016"。
存在各种使用蛮力攻击的方法,但它们都依赖于尝试大量密码尽快输入密码,直到找到正确的密码为止。有些需要更多的计算能力,但可以节省时间。某些速度更快,但是在攻击过程中需要使用更多的存储空间。
暴力攻击很危险的地方
暴力攻击可以用于具有密码的任何内容或加密密钥,但是许多可以使用它们的地方已经针对它们部署了有效的对策(如您将在下一节中看到的那样)。
您最容易遭受暴力攻击如果您丢失了数据并且黑客掌握了这些数据-一旦将其放在他们的计算机上,就可以规避计算机或在线计算机上已有的一些保护措施。
不法之徒如何获取数据到他们的电脑上?您可能会丢失闪存驱动器,也许是将其留在寄给干洗店的衣服口袋中,例如2009年在英国发现的4,500个闪存驱动器。或者,就像找到的其他12,500台设备一样,您可以将电话或笔记本电脑放在出租车上。
或者也许有人能够从云服务下载某些内容,因为您共享了一个不安全的缩短链接。或者也许您受到了一些勒索软件的攻击,这些勒索软件不仅锁定了计算机,还窃取了一些文件。
所有这些的要点是,蛮力攻击在某些地方并不有效,但是有很多方法可以针对您的数据进行部署。防止数据进入黑客计算机的最佳方法是密切跟踪设备(特别是闪存驱动器!)的位置。
防止暴力攻击
在那里网站或应用可以使用多种防御手段来抵御暴力攻击。锁定是最简单和最常用的方法之一:如果多次输入错误的密码,帐户将被锁定,您需要与客户服务或IT部门取得联系。
类似的策略可以用于验证码挑战或其他类似任务。这两种方法都不能抵抗反向蛮力攻击,因为它只会使每个帐户的密码测试一次失败。
可以用来防止这些攻击(标准和反向)的另一种方法是双重身份验证,但可以保护您免受许多攻击。
值得注意的是,尽管这些策略对于避免暴力攻击非常有效,但它们也可以用于其他方式攻击站点。例如,如果在五次不正确的尝试之后对一个锁定帐户的站点发起了蛮力攻击,则其客户服务团队可能会被大量电话打扰,从而降低站点速度。它也可以用作分布式拒绝服务攻击的一部分。
到目前为止,保护自己免受暴力攻击的最简单方法是使用长密码。随着密码长度的增加,猜测所有可能的字符组合所需的计算能力会迅速提高。在一篇有关URL缩短器的安全风险的论文中,研究人员展示了如何轻易猜出5个,6个和7个字符的令牌,但是几乎没有11个和12个字符的令牌。
您可以对密码应用相同的逻辑。使用强密码,您将几乎不受暴力攻击。
令人惊讶的有效攻击
对于它多么简单和轻率,它被称为“暴力"。毕竟,这是一个原因-这种攻击在获得对密码保护和加密区域的访问方面可能出奇地有效。但是,既然您知道了攻击的工作原理以及如何保护自己免受攻击,您就不必担心了!
您是否使用两因素身份验证?您是否知道其他针对暴力攻击的良好防御措施?在下面分享您的想法和提示!
图片来源:TungCheung通过Shutterstock,cunaplus通过Shutterstock。
