蠻力攻擊是一種流行的破解方法：據(jù)一些統(tǒng)計(jì)，蠻力攻擊占已確認(rèn)的安全漏洞的 5% 。暴力攻擊涉及“猜測”用戶名和密碼以獲得對(duì)系統(tǒng)的未授權(quán)訪問。暴力破解是一種簡單的攻擊方法，成功率很高。

一些攻擊者將應(yīng)用程序和腳本用作暴力破解工具。這些工具會(huì)嘗試多種密碼組合來繞過身份驗(yàn)證過程。在其他情況下，攻擊者會(huì)嘗試通過搜索正確的會(huì)話 ID 來訪問 Web 應(yīng)用程序。攻擊者的動(dòng)機(jī)可能包括竊取信息、用惡意軟件感染站點(diǎn)或中斷服務(wù)。

雖然一些攻擊者仍然手動(dòng)執(zhí)行暴力攻擊，但今天幾乎所有的暴力攻擊都是由機(jī)器人執(zhí)行的。攻擊者擁有通過安全漏洞或暗網(wǎng)獲得的常用憑據(jù)或真實(shí)用戶憑據(jù)列表。機(jī)器人系統(tǒng)地攻擊網(wǎng)站并嘗試這些憑據(jù)列表，并在攻擊者獲得訪問權(quán)限時(shí)通知他們。

蠻力攻擊的類型

• 簡單的暴力攻擊——使用系統(tǒng)的方法來“猜測”，不依賴于外部邏輯。
• 混合暴力攻擊——從外部邏輯開始，確定哪種密碼變體最有可能成功，然后繼續(xù)使用簡單的方法嘗試多種可能的變體。
• 字典攻擊——使用可能的字符串或短語的字典來猜測用戶名或密碼。
• 彩虹表攻擊——彩虹表是用于逆向加密哈希函數(shù)的預(yù)計(jì)算表。它可用于猜測由有限字符集組成的特定長度的函數(shù)。
• 反向暴力攻擊——對(duì)許多可能的用戶名使用通用密碼或密碼集合。以攻擊者先前已獲取其數(shù)據(jù)的用戶網(wǎng)絡(luò)為目標(biāo)。
• 憑據(jù)填充——使用以前已知的密碼-用戶名對(duì)，在多個(gè)網(wǎng)站上進(jìn)行嘗試。利用許多用戶在不同系統(tǒng)中具有相同用戶名和密碼這一事實(shí)。

Hydra 和其他流行的暴力破解工具

安全分析師使用 THC-Hydra 工具來識(shí)別客戶端系統(tǒng)中的漏洞。Hydra 快速運(yùn)行大量密碼組合，無論是簡單的暴力破解還是基于字典的組合。它可以攻擊 50 多種協(xié)議和多種操作系統(tǒng)。Hydra 是一個(gè)開放平臺(tái)；安全社區(qū)和攻擊者不斷開發(fā)新模塊。

其他頂級(jí)暴力破解工具是：

• Aircrack-ng — 可以在 Windows、Linux、iOS 和 Android 上使用。它使用廣泛使用的密碼字典來破壞無線網(wǎng)絡(luò)。
• John the Ripper — 在 15 種不同的平臺(tái)上運(yùn)行，包括 Unix、Windows 和 OpenVMS。使用可能的密碼字典嘗試所有可能的組合。
• L0phtCrack — 破解 Windows 密碼的工具。它使用彩虹表、字典和多處理器算法。
• Hashcat — 適用于 Windows、Linux 和 Mac OS?？梢詧?zhí)行簡單的暴力攻擊、基于規(guī)則的攻擊和混合攻擊。
• DaveGrohl — 用于破解 Mac 操作系統(tǒng)的開源工具?？梢苑植荚诙嗯_(tái)計(jì)算機(jī)上。
• Ncrack — 破解網(wǎng)絡(luò)認(rèn)證的工具。它可以在 Windows、Linux 和 BSD 上使用。

啟用暴力攻擊的弱密碼

今天，個(gè)人擁有許多帳戶并擁有許多密碼。人們傾向于重復(fù)使用一些簡單的密碼，這使他們?nèi)菀资艿奖┝?。此外，重?fù)使用相同的密碼可以授予攻擊者訪問多個(gè)帳戶的權(quán)限。

受弱密碼保護(hù)的電子郵件帳戶可能會(huì)連接到其他帳戶，也可用于恢復(fù)密碼。這使它們對(duì)黑客特別有價(jià)值。此外，如果用戶不修改他們的默認(rèn)路由器密碼，他們的本地網(wǎng)絡(luò)就容易受到攻擊。攻擊者可以嘗試一些簡單的默認(rèn)密碼并獲得對(duì)整個(gè)網(wǎng)絡(luò)的訪問權(quán)限。

暴力破解列表中一些最常見的密碼包括：出生日期、孩子的名字、qwerty、123456、abcdef123、a123456、abc123、password、asdf、hello、welcome、zxcvbn、Qazwsx、654321、123321、000000、111111、 987654321、1q2w3e、123qwe、qwertyuiop、gfhjkm。強(qiáng)密碼可以更好地防止身份盜用、數(shù)據(jù)丟失、未經(jīng)授權(quán)訪問帳戶等。

如何防止暴力破解密碼

為保護(hù)您的組織免受暴力破解密碼，請(qǐng)強(qiáng)制使用強(qiáng)密碼。密碼應(yīng)該：

• 切勿使用可在網(wǎng)上找到的信息（例如家庭成員的姓名）。
• 擁有盡可能多的角色。
• 組合字母、數(shù)字和符號(hào)。
• 每個(gè)用戶帳戶都不同。
• 避免常見的模式。

作為管理員，您可以實(shí)施一些方法來保護(hù)用戶免受暴力密碼破解：

• 鎖定政策——您可以在多次登錄嘗試失敗后鎖定帳戶，然后以管理員身份解鎖。
• 漸進(jìn)式延遲——您可以在登錄嘗試失敗后將帳戶鎖定一段有限的時(shí)間。每次嘗試都會(huì)使延遲變長。
• 驗(yàn)證碼——像reCAPTCHA這樣的工具需要用戶完成簡單的任務(wù)才能登錄系統(tǒng)。用戶可以輕松完成這些任務(wù)，而暴力破解工具則不能。
• 要求強(qiáng)密碼——您可以強(qiáng)制用戶定義長而復(fù)雜的密碼。您還應(yīng)該強(qiáng)制定期更改密碼。
• 雙因素身份驗(yàn)證——您可以使用多個(gè)因素來驗(yàn)證身份并授予對(duì)帳戶的訪問權(quán)限。