IP知识百科之暴力破解

暴力破解

暴力破解是一种针对于密码的破译方法，将密码进行逐个推算直到找出真正的密码为止。设置长而复杂的密码、在不同的地方使用不同的密码、避免使用个人信息作为密码、定期修改密码等是防御暴力破解的有效方法。

暴力破解的方法

穷举法：根据输入密码的设定长度、选定的字符集生成可能的密码全集，进行地毯式搜索。理论上利用这种方法可以破解任何一种密码，但随着密码复杂度增加，破解密码的时间会指数级延长。

字典式攻击：字典式攻击是将出现频率最高的密码保存到文件中，这文件就是字典，暴破时使用字典中的这些密码去猜解。字典式攻击适用于猜解人为设定的口令。

彩虹表攻击：属于字典式攻击，是一种高效地破解哈希算法（MD5、SHA1、SHA256/512等）的攻击方式。其核心思想是将明文计算得到的哈希值由R函数映射回明文空间，交替计算明文和哈希值，生成哈希链，将这个链的首尾存储在表中。将不同的R函数用不同的颜色表示，众多的哈希链就会像彩虹一样，所以叫做彩虹表。

哪些是最容易受到暴力破解的密码许多人设置的密码都过于简单，或者使用电话号码、出生日期、亲人或宠物的名字作为密码，或者在不同网站使用相同密码，这些行为导致密码很容易被破解。

在 2020年末，NordPass公布了2020 年使用率最高的200 个密码，排名靠前的几个密码分别为123456、123456789、password、12345678、111111、123123、12345、1234567890、1234567、000000、1234…… ，除了纯数字，还有各种数字和字母组合，例如：qwerty、abc123 和picture1 等。如何防御暴力破解攻击

1、人的层面：增强密码安全性

提升密码长度和复杂度

在不同的地方使用不同的密码

避免使用字典单词、数字组合、相邻键盘组合、重复的字符串

避免使用名字或者非机密的个人信息（电话号码、出生日期等）作为密码，或者是亲人、孩子、宠物的名字

定期修改密码

2、系统层面：做好密码防暴力破解设计

锁定策略：输错密码几次就锁定一段时间

验证码技术：要求用户完成简单的任务才能登录到系统

密码复杂度限制：强制用户设置长而复杂的密码，并强制定期更改密码

双因子认证：结合两种不同的认证因素对用户进行认证

华为HiSec Insight如何帮助您防御暴力破解攻击

华为推出基于成熟自研商用大数据平台FusionInsight开发的HiSec Insight安全态势感知系统，结合智能检测算法可进行多维度海量数据关联分析，主动实时的发现各类安全威胁事件，还原出整个APT攻击链攻击行为。同时华为安全态势感知可采集和存储多类网络信息数据，帮助您在发现威胁后调查取证以及处置问责。华为安全态势感知以发现威胁、阻断威胁、取证、溯源、响应、处置的思路设计，帮助您完成全流程威胁事件闭环。

编辑：jq