IP知識(shí)百科之暴力破解

暴力破解

暴力破解是一種針對(duì)于密碼的破譯方法，將密碼進(jìn)行逐個(gè)推算直到找出真正的密碼為止。設(shè)置長(zhǎng)而復(fù)雜的密碼、在不同的地方使用不同的密碼、避免使用個(gè)人信息作為密碼、定期修改密碼等是防御暴力破解的有效方法。

暴力破解的方法

窮舉法：根據(jù)輸入密碼的設(shè)定長(zhǎng)度、選定的字符集生成可能的密碼全集，進(jìn)行地毯式搜索。理論上利用這種方法可以破解任何一種密碼，但隨著密碼復(fù)雜度增加，破解密碼的時(shí)間會(huì)指數(shù)級(jí)延長(zhǎng)。

字典式攻擊：字典式攻擊是將出現(xiàn)頻率最高的密碼保存到文件中，這文件就是字典，暴破時(shí)使用字典中的這些密碼去猜解。字典式攻擊適用于猜解人為設(shè)定的口令。

彩虹表攻擊：屬于字典式攻擊，是一種高效地破解哈希算法（MD5、SHA1、SHA256/512等）的攻擊方式。其核心思想是將明文計(jì)算得到的哈希值由R函數(shù)映射回明文空間，交替計(jì)算明文和哈希值，生成哈希鏈，將這個(gè)鏈的首尾存儲(chǔ)在表中。將不同的R函數(shù)用不同的顏色表示，眾多的哈希鏈就會(huì)像彩虹一樣，所以叫做彩虹表。

哪些是最容易受到暴力破解的密碼許多人設(shè)置的密碼都過(guò)于簡(jiǎn)單，或者使用電話號(hào)碼、出生日期、親人或?qū)櫸锏拿肿鳛槊艽a，或者在不同網(wǎng)站使用相同密碼，這些行為導(dǎo)致密碼很容易被破解。

在 2020年末，NordPass公布了2020 年使用率最高的200 個(gè)密碼，排名靠前的幾個(gè)密碼分別為123456、123456789、password、12345678、111111、123123、12345、1234567890、1234567、000000、1234…… ，除了純數(shù)字，還有各種數(shù)字和字母組合，例如：qwerty、abc123 和picture1 等。如何防御暴力破解攻擊

1、人的層面：增強(qiáng)密碼安全性

提升密碼長(zhǎng)度和復(fù)雜度

在不同的地方使用不同的密碼

避免使用字典單詞、數(shù)字組合、相鄰鍵盤(pán)組合、重復(fù)的字符串

避免使用名字或者非機(jī)密的個(gè)人信息（電話號(hào)碼、出生日期等）作為密碼，或者是親人、孩子、寵物的名字

定期修改密碼

2、系統(tǒng)層面：做好密碼防暴力破解設(shè)計(jì)

鎖定策略：輸錯(cuò)密碼幾次就鎖定一段時(shí)間

驗(yàn)證碼技術(shù)：要求用戶完成簡(jiǎn)單的任務(wù)才能登錄到系統(tǒng)

密碼復(fù)雜度限制：強(qiáng)制用戶設(shè)置長(zhǎng)而復(fù)雜的密碼，并強(qiáng)制定期更改密碼

雙因子認(rèn)證：結(jié)合兩種不同的認(rèn)證因素對(duì)用戶進(jìn)行認(rèn)證

華為HiSec Insight如何幫助您防御暴力破解攻擊

華為推出基于成熟自研商用大數(shù)據(jù)平臺(tái)FusionInsight開(kāi)發(fā)的HiSec Insight安全態(tài)勢(shì)感知系統(tǒng)，結(jié)合智能檢測(cè)算法可進(jìn)行多維度海量數(shù)據(jù)關(guān)聯(lián)分析，主動(dòng)實(shí)時(shí)的發(fā)現(xiàn)各類安全威脅事件，還原出整個(gè)APT攻擊鏈攻擊行為。同時(shí)華為安全態(tài)勢(shì)感知可采集和存儲(chǔ)多類網(wǎng)絡(luò)信息數(shù)據(jù)，幫助您在發(fā)現(xiàn)威脅后調(diào)查取證以及處置問(wèn)責(zé)。華為安全態(tài)勢(shì)感知以發(fā)現(xiàn)威脅、阻斷威脅、取證、溯源、響應(yīng)、處置的思路設(shè)計(jì)，幫助您完成全流程威脅事件閉環(huán)。

編輯：jq