什麼是蠻力攻擊以及如何防止它

What is a brute-force attack?

我們都需要偶爾解決CAPTCHAs,但你有沒有想過這些有時令人討厭的測試的目的是什麼?而CAPTCHA究竟是什麼意思呢?它代表C ompletely 一項自動化的P ublic T uring測試,告訴C omputers和H umans A part,其主要目標之一是防止成功的暴力攻擊。是時候提出更多問題了。

什麼是蠻力攻擊?

想想組合鎖。你不知道解鎖它的四位數代碼,所以你只是想猜它。您從“0000”開始,如果它不起作用,請嘗試“0001”,“0002”,“0003”等,直到您到達打開鎖的組合。簡單來說,這是一種暴力攻擊,同樣的原則可以應用於密碼。

當然,它並不像聽起來那麼容易。通常,密碼由四個以上的字符組成,其中通常包含字母,正如我們在一分鐘內發現的那樣,這意味著可能的組合數量要高得多。總而言之,傳統形式的暴力攻擊並不是打破密碼的有效方式。這就是為什麼,現在稱為字典攻擊的蠻力攻擊的演變更為常見。

什麼是字典攻擊?

在字典攻擊中,黑客仍在試圖猜測密碼。不同的是,在蠻力的嘗試中,他們在黑暗中射擊,而在這裡,他們正在做出有根據的猜測。用戶根本不熟悉密碼這一事實使這種攻擊成為可能。

記住多個複雜的密碼是很難的,這就是為什麼許多人訴諸於用“密碼”這樣的簡單單詞或像“qwerty”這樣的鍵盤模式來保護他們的帳戶。通過將常用密碼的長列表放在一起,黑客更有可能以更少的嘗試來猜測密碼。

離線和在線攻擊

傳統的暴力攻擊和字典變種都可以在線或離線進行。在線攻擊中,黑客試圖在登錄頁面猜測密碼。當他們離線時,他們已經違反了服務提供商並下載了包含散列密碼的數據庫。在本地重新創建散列機制後,他們會嘗試猜測密碼而不連接到登錄頁面。

CAPTCHA在哪裡進入這一切?

它是一種停止在線暴力破解和字典攻擊的機制。正如您可能已經猜到的那樣,攻擊者不會坐在鍵盤前試用不同的密碼,直到屏幕上出現“Access Granted”。他們使用自動化工具和軟件,並且像這些工具一樣複雜,他們無法解決良好的CAPTCHA測試。通常還有其他預防措施,例如限制登錄嘗試失敗次數以及阻止生成可疑流量的IP,但CAPTCHA測試是最簡單的(儘管不是完全萬無一失的)解決方案。

但是,在離線攻擊中,CAPTCHA測試完全無關緊要。這就是你需要介入的地方。

保護自己免受暴力攻擊

確保您的密碼不受字典攻擊影響的唯一方法是確保它不在黑客的字典中。任何鍵盤模式都應該是不可能的,即使你認為它們不容易猜到. 如果密碼是有意義的單詞,您也可能容易受到攻擊。不要忘記,在離線攻擊中,黑客不需要擔心被抓住或用完登錄嘗試,所以他們理論上可以加載一個語言的整個詞彙表並等待正確的單詞出現。隨機字符串沒有任何意義,不僅可以保護您免受字典攻擊,還可以使蠻力嘗試更加困難。

根據所使用的字符的長度和類型,每個密碼的可能組合數量有限。例如,對於四字符數字代碼,您總共有10,000種可能的組合。但是,如果在等式中添加小寫字母,則會立即將數字增加到近170萬。添加大寫字母,您將看到接近1480萬個組合。

這可能聽起來很多,但現代密碼破解工具將在幾秒鐘內完成所有這些組合,這就是為什麼除了建議盡可能廣泛使用各種字符之外,專家還說好的密碼至少是 8個字符長。

你們中的一些人可能正在閱讀這種思想“說起來容易做起來難”。好吧,我們認為阻止蠻力企圖從未如此簡單。使用Cyclonis Password Manager ,創建和存儲多個強密碼是輕而易舉的。 自動密碼生成器將創建由數字,字母和特殊字符組成的隨機密碼,由您自行決定您希望它們的長度。您也不必擔心記住它們。 Cyclonis Password Manager會將您的所有密碼都放在一個加密的保險庫中,您可以通過主密碼訪問該保險庫。

April 30, 2019

發表評論

重要!若要繼續到下一步,請完成以下簡單的數學問題。
Please leave these two fields as is:
6 + 9是什麼?