IP知識百科之暴力破解

暴力破解

暴力破解是一種針對于密碼的破譯方法，將密碼進行逐個推算直到找出真正的密碼為止。設(shè)置長而復雜的密碼、在不同的地方使用不同的密碼、避免使用個人信息作為密碼、定期修改密碼等是防御暴力破解的有效方法。

暴力破解的方法

窮舉法：根據(jù)輸入密碼的設(shè)定長度、選定的字符集生成可能的密碼全集，進行地毯式搜索。理論上利用這種方法可以破解任何一種密碼，但隨著密碼復雜度增加，破解密碼的時間會指數(shù)級延長。

字典式攻擊：字典式攻擊是將出現(xiàn)頻率最高的密碼保存到文件中，這文件就是字典，暴破時使用字典中的這些密碼去猜解。字典式攻擊適用于猜解人為設(shè)定的口令。

彩虹表攻擊：屬于字典式攻擊，是一種高效地破解哈希算法（MD5、SHA1、SHA256/512等）的攻擊方式。其核心思想是將明文計算得到的哈希值由R函數(shù)映射回明文空間，交替計算明文和哈希值，生成哈希鏈，將這個鏈的首尾存儲在表中。將不同的R函數(shù)用不同的顏色表示，眾多的哈希鏈就會像彩虹一樣，所以叫做彩虹表。

哪些是最容易受到暴力破解的密碼許多人設(shè)置的密碼都過于簡單，或者使用電話號碼、出生日期、親人或?qū)櫸锏拿肿鳛槊艽a，或者在不同網(wǎng)站使用相同密碼，這些行為導致密碼很容易被破解。

在 2020年末，NordPass公布了2020 年使用率最高的200 個密碼，排名靠前的幾個密碼分別為123456、123456789、password、12345678、111111、123123、12345、1234567890、1234567、000000、1234…… ，除了純數(shù)字，還有各種數(shù)字和字母組合，例如：qwerty、abc123 和picture1 等。如何防御暴力破解攻擊

1、人的層面：增強密碼安全性

提升密碼長度和復雜度

在不同的地方使用不同的密碼

避免使用字典單詞、數(shù)字組合、相鄰鍵盤組合、重復的字符串

避免使用名字或者非機密的個人信息（電話號碼、出生日期等）作為密碼，或者是親人、孩子、寵物的名字

定期修改密碼

2、系統(tǒng)層面：做好密碼防暴力破解設(shè)計

鎖定策略：輸錯密碼幾次就鎖定一段時間

驗證碼技術(shù)：要求用戶完成簡單的任務(wù)才能登錄到系統(tǒng)

密碼復雜度限制：強制用戶設(shè)置長而復雜的密碼，并強制定期更改密碼

雙因子認證：結(jié)合兩種不同的認證因素對用戶進行認證

華為HiSec Insight如何幫助您防御暴力破解攻擊

華為推出基于成熟自研商用大數(shù)據(jù)平臺FusionInsight開發(fā)的HiSec Insight安全態(tài)勢感知系統(tǒng)，結(jié)合智能檢測算法可進行多維度海量數(shù)據(jù)關(guān)聯(lián)分析，主動實時的發(fā)現(xiàn)各類安全威脅事件，還原出整個APT攻擊鏈攻擊行為。同時華為安全態(tài)勢感知可采集和存儲多類網(wǎng)絡(luò)信息數(shù)據(jù)，幫助您在發(fā)現(xiàn)威脅后調(diào)查取證以及處置問責。華為安全態(tài)勢感知以發(fā)現(xiàn)威脅、阻斷威脅、取證、溯源、響應(yīng)、處置的思路設(shè)計，幫助您完成全流程威脅事件閉環(huán)。

編輯：jq