密码攻击（蛮力攻击）

1. 什么是密码学？

密码学是一种用于存储和传输敏感数据的安全机制，只有发送方和预期接收方才能读取或理解。密钥用于编码（在发送方端）和解码（在接收方端）数据。加密是将明文或数据转换为密文或编码数据（并非所有人都能阅读）的过程。将密文或加密数据转换为可读形式或解码版本称为解密。

2. 什么是密码攻击？

密码攻击是黑客用来攻击密文、加密密钥等密码解决方案的一种方法。这些攻击旨在从密文中检索明文或解码加密数据。黑客可能试图通过发现加密技术、加密协议、加密算法或密钥管理策略中的弱点和缺陷来绕过加密系统的安全性。

3. 被动和主动攻击

3.1 被动攻击

被动密码攻击旨在通过拦截或窃听一般通信来获得对敏感数据或信息的未授权访问。在这种情况下，数据和通信保持完整，不会被篡改。攻击者只能访问数据。

3.2 主动攻击

主动密码攻击涉及对数据或通信的某种修改。在这种情况下，攻击者不仅可以访问数据，还可以篡改数据。

4. 密码攻击的类型

4.1蛮力攻击（Brute-Force Attack）

蛮力攻击是密码攻击中最简单的。攻击者只需通过对系统中的每一个可能的密码组合进行高度密集的自动搜索，从而破坏安全并获得对计算机的访问权限。如果有足够的时间和计算资源，蛮力攻击将奏效，因为攻击者会找到正确的密钥。

又称为穷举攻击，是一种密码分析的方法，即将密码进行逐个推算直到找出真正的密码为止。例如：一个已知是四位数并且全部由阿拉伯数字组成的密码，其可能共有10000种组合，因此最多尝试9999次就能找到正确的密码。理论上除了具有完善保密性的密码以外，利用这种方法可以破解任何一种密码，问题只在于如何缩短试误时间。有些人运用计算机来增加效率，有些人透过字典攻击来缩小密码组合的范围。

尽管暴力攻击很难完全停止，但它们很容易检测到，监视日志文件是否存在暴力攻击非常重要，

以下是可能表明暴力攻击或其他帐户滥用的情况：

• 从同一 IP 地址多次登录失败
• 使用来自同一 IP 地址的多个用户名登录
• 来自多个不同 IP 地址的单个帐户的登录
• 一次性使用过多和带宽消耗

如何阻止暴力破解攻击

攻击者总是可以通过暴力攻击发现密码，但缺点是可能需要数年时间才能找到它。根据密码的长度和复杂性，可能有数万亿种可能的组合。为了加快速度，暴力攻击可以从字典单词或稍微修改的字典单词开始，因为大多数人会使用这些单词而不是完全随机的密码。这些攻击称为字典攻击或混合暴力攻击。

黑客使用广泛使用的工具发起暴力攻击，这些工具利用单词列表和智能规则集来智能自动猜测用户密码。

（一）锁定用户

阻止暴力攻击的最明显方法是在定义数量的错误密码尝试后简单地锁定帐户。帐户锁定可以持续特定持续时间（例如一小时），或者帐户可以保持锁定状态，直到管理员手动解锁。但是，帐户锁定并不总是最佳解决方案，因为有人很容易滥用安全措施并锁定数百个用户帐户。事实上，某些网站遭受的攻击如此之多，以至于它们无法强制实施锁定策略，因为它们会不断解锁客户帐户。

帐户锁定的问题是：

• 攻击者可以通过锁定大量帐户来造成拒绝服务 （DoS）。
• 由于无法锁定不存在的帐户，因此只有有效的帐户名才会锁定。攻击者可利用此事实从站点获取用户名，具体取决于错误响应。
• 攻击者可以通过锁定许多帐户并用支持呼叫淹没帮助台来造成转移。

（二）使用验证码，防止自动搜索提交，例如：随机数字或数字计算，点击图片式认证，短信验证码，滑动拼图等形式。

（三）使用双因素身份验证：通过要求第二种身份验证形式为您的在线帐户增加额外的安全层，例如除了您的密码外，还需要发送到您手机的代码。要入侵这个账户，他们必须窃取密码和实体手机。例如电子邮件和银行业务。

唯一最好的防御措施是确保用户遵循强密码的基本规则：使用不可预测的长密码，避免字典单词，避免重复使用密码，并定期更改密码。

现代密码通过使用一个足够长的密钥来防止暴力攻击，使得猜测变得不可能。高级加密标准（AES）具有最长的可用密钥长度-256位。AES密钥有2 2^{256} 个可能值。今天没有一台计算机能够在合理的时间内搜索到这样的密钥。