蠻力攻擊是一種用于解碼敏感數(shù)據(jù)的試錯法。蠻力攻擊最常見的應(yīng)用是破解密碼和破解加密密鑰（繼續(xù)閱讀以了解有關(guān)加密密鑰的更多信息）。暴力攻擊的其他常見目標是 API 密鑰和 SSH 登錄。暴力密碼攻擊通常由針對網(wǎng)站登錄頁面的腳本或機器人執(zhí)行。

蠻力攻擊與其他破解方法的區(qū)別在于，蠻力攻擊不采用智力策略。他們只是嘗試使用不同的字符組合，直到找到正確的組合。這有點像小偷試圖通過嘗試所有可能的數(shù)字組合來闖入組合保險箱，直到保險箱打開。

蠻力攻擊的優(yōu)點和缺點是什么？

蠻力攻擊的最大優(yōu)點是它們執(zhí)行起來相對簡單，并且只要有足夠的時間并且缺乏針對目標的緩解策略，它們總是可以工作的。每個基于密碼的系統(tǒng)和加密密鑰都可以使用暴力攻擊來破解。事實上，暴力破解系統(tǒng)所需的時間是衡量該系統(tǒng)安全級別的有用指標。

另一方面，蠻力攻擊非常緩慢，因為它們可能必須遍歷所有可能的角色組合才能達到目標。隨著目標字符串中字符數(shù)的增加（字符串只是字符的組合），這種遲緩會更加復(fù)雜。例如，四字符密碼的暴力破解時間明顯長于三字符密碼，五字符密碼的時間明顯長于四字符密碼。一旦字符數(shù)超過某個點，強制使用適當?shù)碾S機密碼就變得不切實際了。

如果目標字符串足夠長，那么暴力攻擊者可能需要數(shù)天、數(shù)月甚至數(shù)年才能解碼正確隨機化的密碼。由于當前需要更長的密碼和加密密鑰的趨勢，蠻力攻擊要困難得多。當使用良好的密碼和加密時，攻擊者通常會嘗試其他代碼破解方法，例如社會工程或路徑攻擊。

如何防范蠻力攻擊

管理授權(quán)系統(tǒng)的開發(fā)人員可以采取措施，例如鎖定導(dǎo)致過多登錄失敗的 IP 地址，并在他們的密碼檢查軟件中加入延遲。即使是幾秒鐘的延遲也會大大削弱暴力攻擊的有效性。

Web 服務(wù)的用戶可以通過選擇更長、更復(fù)雜的密碼來降低他們對暴力攻擊的脆弱性。還建議啟用雙因素身份驗證并為每個服務(wù)使用唯一密碼。如果攻擊者能夠針對一項服務(wù)暴力破解用戶密碼，那么該攻擊者可能會嘗試在許多其他流行服務(wù)上重復(fù)使用相同的登錄名和密碼。這稱為憑證填充。

用戶還應(yīng)避免使用任何未使用強加密密鑰保護其數(shù)據(jù)的 Web 服務(wù)輸入密碼或個人信息，例如信用卡號或銀行信息。

什么是加密密鑰？

加密密鑰是隨機生成的比特串，用于對數(shù)據(jù)進行加擾和解密。一旦數(shù)據(jù)被加擾，它就會顯示為一串隨機的、混亂的字符，直到使用正確的加密密鑰進行解擾。就像密碼一樣，加密密鑰可以使用暴力攻擊來破解，但是今天使用的加密密鑰需要很長時間才能使用現(xiàn)代計算機破解，以至于它們被認為是牢不可破的。

128 位加密和 256 位加密有什么區(qū)別？

較長的加密密鑰比較短的加密密鑰更安全。例如，在 128 位加密密鑰中，暴力攻擊者必須嘗試 2128 種可能的組合。對于256位加密，攻擊者必須嘗試2256種不同的組合，這需要比128位密鑰多 2128 倍的計算能力來破解！（2 128 = 340,282,366,920,938,463,463,374,607,431,768,211,456 種可能的組合）。

為了讓您了解這些數(shù)字的含義，一臺可以每秒檢查數(shù)萬億個組合的強大計算機仍然需要十億分之一年才能破解 256 位加密密鑰（一個十億分之一是一個后跟 96 個零）。

由于高位加密密鑰幾乎不受當前暴力攻擊的影響，因此建議所有收集用戶信息的 Web 服務(wù)都使用 256 位加密密鑰對其數(shù)據(jù)和通信進行加密。使用一流的TLS 加密來防止暴力攻擊，并致力于針對未來的量子計算。