[资讯安全]brute-force attack(暴力攻击法)
再复杂的加密法,都会有被破解的一天,因为只要电脑运算的时间够快,透过反复的try-error,总是有机会try出正确的解密金钥,而密码也是一样,只要有足够多的尝试机会,再复杂的密码都有可能被破解,而这种透过无脑的try-error来破解密码,这样的攻击手法被称为brute-force,因为这个方法非常的暴力,因此也被称为暴力攻击法。
暴力攻击法非常的简单,以下我们随便下载了一个暴力攻击的软件(没看错,网络上随处可以下载到这样的软件),在此之前我们先对一个文件做压缩加密:
我们将密码设定为12345:
接着开启我在网络上下载的暴力破解软件,选择了我要破解的文件:
按下Start后,就发现我们的密码真的被破解了,没看错,就这么简单,
对这种暴力破解的软件来说,密码的复杂度并不能避免被骇,只能减缓被骇的速度,这种骇客手法比较常使用的方式有两种,一种是备妥字典档,也就是将一堆密码的集何放在字典档中,将字典档中每个密码都拿来逐一测试,如果有符合的,就可以破解;另一种方法是程序随机产生密码,准备好所有的英数字、半形符号的字符串数组集合,透过程序撰写,将这些字符串集合作随机的组合,然后尝试去破解密码,只要你的密码是英数字、半形符号的的组合,在没有防护措施状况下就肯定会被破解...
从上方看来,这种攻击手法使用上非常简单,而要防护也不困难,常见防护手法有几个:
- 限制密码尝试次数:目前金融系统大多是这种方法,密码错了几次后就不能再使用了
- IP banned:延续1.,当此IP尝试几次失败后,直接ban掉这个IP
- Incremental delay:暴力攻击法大多是反复的对画面上字段进行密码猜测,我们可在系统设计时,当使用者输入错误密码时,做某种程度的处理延迟,例如延迟一秒钟,再错,再延迟...当错了100次后,就会延迟100秒,在某种程度上就大大拉长了被骇的速率...
- 避免太过明确的错误消息:有些网站当登入密码错误时,会跳出密码错误,账号不存在时会跳出账号不存在,其实这样的错误消息对骇客来说非常有用,可让他们了解目前的账号是否正确,账号正确后继续测试密码,直到破解为止,一些对使用者方便的消息,其实都间接帮助了骇客...
要预防暴力攻击法,必须要使用以上几点防范措施,并搭配适当的密码强度,因为即使系统档了try三次挡掉,但若你的密码很容易被猜到,那三次或许也足够了...
 |
游舒帆 (gipi) 探索原力Co-founder,曾任TutorABC协理与鼎新电脑总监,并曾获选两届微软最有价值专家 ( MVP ),离开职场后创办探索原力,致力于协助青少年培养面对未来的能力。认为教育与组织育才其实息息相关,都是在为未来储备能量,2018年起成立为期一年的专题课程《职涯跃升的关键24堂课》,为培养中国台湾未来的领袖而努力。 |
原文:大专栏 [资讯安全]brute-force attack(暴力攻击法)