如果您是安全出版物（無論是在線還是報紙）的愛好者，您肯定了解暴力攻擊對網絡安全系統造成的破壞有多大。盡管網絡安全取得了進步，但當今互聯網上的安全漏洞數量仍令人擔憂。它讓我們中的許多人感到困惑，想知道網絡犯罪分子是如何設法從無辜受害者那里竊取信息的。

即使服務器或網絡上沒有漏洞或弱點，黑客也可以通過嘗試不同的字母和數字組合來竊取數據。這就是我們所說的蠻力攻擊。您可能是這種情況的受害者，如果您想知道如何防止安全漏洞，您應該繼續閱讀。綜上所述，讓我們看看暴力攻擊是如何工作的，黑客使用什么方法進行暴力攻擊，以及如何防止這些攻擊。

什么是蠻力攻擊？

暴力攻擊是一種有組織的反復試驗，試圖猜測用戶的登錄憑據和加密密鑰。這些方法依賴于使用字典或一組可能的密碼的算法。該程序將測試許多版本，直到發現有效登錄為止。

暴力攻擊是網絡犯罪分子用來反復嘗試不同密碼以獲得對網站、網絡或在線服務的未授權訪問的一種技術。黑客在這方面非常積極，并使用惡意放置在其他系統上的機器人來增加執行此類攻擊所需的計算能力。獲取對 Web 服務器的訪問權限的最簡單方法是通過使用不同的用戶名和密碼組合反復嘗試。像“admin”這樣的標準 ID 傳統上附有通用密碼。

蠻力攻擊如何運作？

暴力攻擊最基本的方法是猜測用戶名和密碼組合。然而，大多數黑客通常通過以下方式進行操作：

• 他們使用憑據生成來啟用暴力攻擊。這些是在預定范圍內生成密碼組合的軟件、程序或工具，例如至少六個符號的密碼長度。
• 該算法將產生一個（非常）冗長的可能組合列表。
• 暴力攻擊中使用的工具將嘗試使用每個唯一的憑據組合登錄到特定服務。此過程可能需要數天、數周或數月。
• 如果一組憑據成功解鎖，則暴力攻擊成功，黑客將無法訪問該帳戶。

不同類型的暴力嘗試

上面的解釋是暴力攻擊的一個例子，但實際上，這些暴力方法經常需要趕上密碼重置標準才能成功破解帳戶。各種類型的暴力攻擊的組合通常需要一起執行才能使攻擊成功。讓我們看看不同類型的暴力攻擊。

1.基本的蠻力攻擊

生成的憑據列表用于侵入人們數據的基本嘗試。憑據組合由 Hydra 等軟件創建，可以在許多網站上作為用戶名和密碼進行測試。

然而，一個六字符的單詞有數萬億種可能的字母、數字和符號組合。通過使用區分大小寫、使用長度超過六個字符的密碼以及其他因素，可以進一步改進密碼。通過增加可能的組合，這種類型的攻擊變得徒勞無益，即使對于機器也是如此。

2.混合暴力攻擊

混合暴力攻擊包括憑證生成的邏輯規則。黑客可能會編制一份流行用戶名列表，并只專注于生成密碼憑證。例如，如果黑客試圖訪問小型網站的管理網頁，他們會生成一個可能的列表，例如“admin”、“office”和網站所有者的姓名，而不是為登錄創建符號。

該軟件將使用該列表中的條目來填充用戶名字段。它將對密碼字段進行簡單的暴力攻擊，以測試所有可能的密碼組合，直到成功。

3.反向暴力攻擊

在反向暴力攻擊中，使用一個常見的密碼，例如“12345”或“password”，并生成許多用戶名，直到有一個與密碼匹配為止。暴力破解可以在幾秒鐘內破解弱密碼。

黑客可以通過將這些反向暴力攻擊與混合策略相結合來提高他們的效率。大多數情況下，黑客已知信息的網站或程序是反向暴力攻擊的目標。

4.字典攻擊

字典攻擊是主要攻擊的更高級變體。字典攻擊循環遍歷憑證中的標準字符串和短語，而不是合并所有字符。這些常用短語都被編譯成字典，隨后用于登錄嘗試。

示例包括用戶的字段名稱和密碼條目的編號規則。盡管字典暴力嘗試更成功，但設置起來更具挑戰性。隨著黑客可以添加更多數據，字典變得更好（也更有風險）。

5.證件回收

憑據回收是最成功的暴力攻擊類型之一。當網絡犯罪分子使用他們已經從另一個來源（通常是暗網）獲得的憑據數據庫發起暴力攻擊時，就會發生這種情況。

例如，如果黑客從 Genesis Market 購買了機器人，他們可能會發現某些憑據不再有效。之后，他們可以使用蠻力為他們已知的用戶名嘗試新密碼。

暴力攻擊的后果

蠻力攻擊使人們的安全和隱私在全球范圍內處于危險之中。與流行的看法相反，它們非常普遍。Verizon 在 2021 年跟蹤的企業中有 23% 報告了暴力攻擊。如果黑客成功地進行了暴力攻擊，可能會出現許多不同的問題。以下結果可能會發生在個人或企業身上：

• 數據泄露和私人對話泄露。
• 欺詐性內容可以發布在社交媒體資料上。
• 無法訪問或限制訪問被黑客入侵的帳戶。
• 通過聯系人列表或網絡傳播有害軟件。

當開發人員的帳戶受到成功的暴力攻擊時，效果會更糟。使用該開發商的程序或網站的人數會成倍增加上面列出的所有有害影響。

如何防止暴力攻擊

如果您重視您的隱私并希望避免暴力攻擊，您可能會采取一些步驟。

1.創建更長的密碼

密碼越長，暴力破解就越困難。每次基于憑據的暴力攻擊生成的密碼必須有一個長度。如果您的密碼長度超過 15 或 20 個字符，則您是否會成為成功攻擊的目標是值得懷疑的。

2.創建更復雜的密碼

如果密碼中包含字母、數字、大寫字母和符號等多種字符，即使借助算法，黑客也很難破譯您的密碼。

3.密碼應因服務而異

通過這樣做，如果黑客攻擊您的一個帳戶，他們將無法使用從目標帳戶竊取的信息登錄您的其余帳戶。

4.啟用多重身份驗證

您的帳戶現在有了額外的安全層，可以防止您在完成第二次驗證之前登錄，例如輸入您通過短信收到的密碼。黑客將無法立即登錄您的帳戶，即使他們通過多重身份驗證發現了您的密碼。

5.使用密碼管理器

如果您不想為每個帳戶設置冗長、復雜的密碼，密碼管理器將負責處理您的密碼。您可以使用更強的密碼，而不必記住所有密碼。

其他注意事項

避免點擊未知鏈接也很重要，因為它們會增加您被黑客攻擊的機會。對于管理應用程序的開發人員來說，將登錄嘗試限制在應用程序上是明智的。例如，如果您的網站經歷了五次失敗的登錄嘗試，它應該暫時阻止該 IP 以防止后續嘗試。在您的登錄頁面啟用驗證碼，并設置一次性密碼 (OTP)。所有這些都將幫助您避免暴力攻擊的威脅。

當您受到暴力攻擊時該怎么辦？

在暴力攻擊期間，確定您是否是受害者可能具有挑戰性。如果系統向您發送重復的電子郵件，表明在您未登錄時進行了登錄嘗試，則這是一個強烈的信號，表明發生了可疑的事情。

除此之外，在您的帳戶遭到入侵之前，您可能不會意識到攻擊。但是，如果您發現自己處于這種狀態，您可以執行以下操作：

1.聯系平臺

請與您注冊帳戶的網站取得聯系。代表可以協助您凍結您的賬戶。如果您的帳戶已被滲透且您無法恢復，他們可能會刪除您的帳戶以防止假冒或身份盜用。

2.更改您的密碼

如果您可以登錄您的帳戶，請確保使用安全且唯一的密碼更新您的密碼。這將減少暴力攻擊準確猜測您的憑據的機會。

3.設置多重身份驗證

多重身份驗證可確保攻擊者無法訪問您的帳戶，即使他們的嘗試成功了。無法保證您不會成為暴力攻擊的目標，因為它們幾乎可以用來對付任何人。但是，通過經常更改密碼并使用上述建議，您可能會大大增加對您的帳戶進行任何主動暴力破解嘗試失敗的可能性。

結論

在分析了針對暴力攻擊的對策后，很明顯，獨自完成這一切可能具有挑戰性且耗時。考慮與可以為您的應用程序、網絡數據和業務信息提供全面保護的合作伙伴合作。