暴力破解和字典攻击

攻击者缺乏正常登录所需的凭据, 因此，他们通常会从被入侵网站的密码转储中寻找目标的电子邮件地址或域名来开始攻击. 如果目标在一个后来被攻破的网站上重复使用他们的密码, 该密码可能仍然有效. 但是精明的用户(希望还有系统管理员)会在任何地方使用唯一的密码. 因此，攻击者现在必须转向两种更直接的攻击之一:字典攻击和暴力攻击.

字典攻击

在字典攻击中, 攻击者利用单词列表，希望用户的密码是一个常用的单词(或在以前的站点中见过的密码)。. 字典攻击最适合使用基于简单单词的密码.g. “牛仔”或“长角牛”). Wordlists aren’t restricted to 英语 words; they often also include common passwords (e.g. 'password '、'letmein '、'iloveyou '或'123456').但现代系统限制用户使用如此简单的密码, 要求用户提出在单词列表中找不到的强密码.

穷举式攻击

进行暴力攻击, 攻击者可以使用工具尝试字母和数字的每一个组合, 期望最终能猜出密码. 如果攻击者知道某个组织需要在其密码中使用特殊字符, 可以指示该工具包含字母, 数字, 和符号. 每个密码，无论多么强大，都容易受到这种攻击. 然而，这种方法需要一段时间(如果密码足够长，则需要几年)。.

破解一个短密码(比如四位数的PIN)所需的时间可能不到一分钟. 将其扩展到6个字符可能需要一个小时. 将其扩展到八个字符，包括字母和符号，可能需要几天的时间. 请注意，每个新字符都会成倍地增加暴力攻击发现密码所需的时间. 因此，一个强大而冗长的密码可能需要数周或数月的时间. 但, 有足够的计算能力和专门的攻击者, 密码最终会被发现.

防御字典和暴力攻击的最佳实践 

使用一个强大的、不常见的密码会使攻击者的工作变得更加困难，但并非不可能. 幸运的是，终端用户和系统管理员可以采取更多的预防措施来防止(或检测)这些攻击尝试:

减慢重复登录: 这是最简单的对策. 最终用户不太可能注意到0.登录时延迟1秒, 但对于攻击者来说，这种延迟会很快累积起来, 特别是如果他们不能并行尝试的话.

多次登录失败后强制验证码: 而用户可能只是忘记了他们使用的帐户密码, 这将有助于显著降低攻击者的速度. 这是一个伟大的 威慑 像现代验证码这样的方法很难用电脑破解. 许多验证码需要人工输入才能解决. 

锁定账户: 甚至更好的, 可以将系统配置为在尝试登录指定次数后锁定帐户. 许多网站会对反复使用错误密码的账户触发额外的保护. 例如，在极端情况下，i电话会在尝试10次后自毁(擦除所有数据).

更新密码: 现代系统通常要求用户定期更换密码. 一些企业环境要求用户每90天更换一次密码, 或者甚至每30天一次. 这背后的基本原理是，试图对复杂密码进行暴力攻击的攻击者需要数周才能成功.

如果在这段时间内密码发生了变化，攻击者将需要重新开始. 然而, 正如许多用户承认的那样, 这些严格的密码要求可能会适得其反, 用户选择更弱的, 顺序密码('longhorns2018,“longhorns2019,等等). 攻击者会很快尝试增加密码.

监测异常情况: 最后, 具有安全意识的组织应该监视用户帐户的异常情况, 例如从无法识别的位置或设备登录, 或多次登录失败. 一个工作人员 安全运营中心(SOC) 是否可以实时检测这些事件并通过锁定帐户快速响应, 阻断IP地址, 联系用户, 寻找这个特定攻击者的进一步活动.

反对简单系统, 字典攻击和暴力攻击很容易, 前门有保证的通道. 在更复杂的环境中, 这些攻击只有在试图混入正常活动或瞄准离线密码数据库以破解密码散列时才有用. 仍然, 这些技术对任何安全专业人员的工具都是极好的补充, 他们还强调了定期为终端用户更新强密码的重要性.