蠻力攻擊是一種流行的破解方法：據一些統計，蠻力攻擊占已確認的安全漏洞的 5% 。暴力攻擊涉及“猜測”用戶名和密碼以獲得對系統的未授權訪問。暴力破解是一種簡單的攻擊方法，成功率很高。

一些攻擊者將應用程序和腳本用作暴力破解工具。這些工具會嘗試多種密碼組合來繞過身份驗證過程。在其他情況下，攻擊者會嘗試通過搜索正確的會話 ID 來訪問 Web 應用程序。攻擊者的動機可能包括竊取信息、用惡意軟件感染站點或中斷服務。

雖然一些攻擊者仍然手動執行暴力攻擊，但今天幾乎所有的暴力攻擊都是由機器人執行的。攻擊者擁有通過安全漏洞或暗網獲得的常用憑據或真實用戶憑據列表。機器人系統地攻擊網站并嘗試這些憑據列表，并在攻擊者獲得訪問權限時通知他們。

蠻力攻擊的類型

• 簡單的暴力攻擊——使用系統的方法來“猜測”，不依賴于外部邏輯。
• 混合暴力攻擊——從外部邏輯開始，確定哪種密碼變體最有可能成功，然后繼續使用簡單的方法嘗試多種可能的變體。
• 字典攻擊——使用可能的字符串或短語的字典來猜測用戶名或密碼。
• 彩虹表攻擊——彩虹表是用于逆向加密哈希函數的預計算表。它可用于猜測由有限字符集組成的特定長度的函數。
• 反向暴力攻擊——對許多可能的用戶名使用通用密碼或密碼集合。以攻擊者先前已獲取其數據的用戶網絡為目標。
• 憑據填充——使用以前已知的密碼-用戶名對，在多個網站上進行嘗試。利用許多用戶在不同系統中具有相同用戶名和密碼這一事實。

Hydra 和其他流行的暴力破解工具

安全分析師使用 THC-Hydra 工具來識別客戶端系統中的漏洞。Hydra 快速運行大量密碼組合，無論是簡單的暴力破解還是基于字典的組合。它可以攻擊 50 多種協議和多種操作系統。Hydra 是一個開放平臺；安全社區和攻擊者不斷開發新模塊。

其他頂級暴力破解工具是：

• Aircrack-ng — 可以在 Windows、Linux、iOS 和 Android 上使用。它使用廣泛使用的密碼字典來破壞無線網絡。
• John the Ripper — 在 15 種不同的平臺上運行，包括 Unix、Windows 和 OpenVMS。使用可能的密碼字典嘗試所有可能的組合。
• L0phtCrack — 破解 Windows 密碼的工具。它使用彩虹表、字典和多處理器算法。
• Hashcat — 適用于 Windows、Linux 和 Mac OS。可以執行簡單的暴力攻擊、基于規則的攻擊和混合攻擊。
• DaveGrohl — 用于破解 Mac 操作系統的開源工具。可以分布在多臺計算機上。
• Ncrack — 破解網絡認證的工具。它可以在 Windows、Linux 和 BSD 上使用。

啟用暴力攻擊的弱密碼

今天，個人擁有許多帳戶并擁有許多密碼。人們傾向于重復使用一些簡單的密碼，這使他們容易受到暴力攻擊。此外，重復使用相同的密碼可以授予攻擊者訪問多個帳戶的權限。

受弱密碼保護的電子郵件帳戶可能會連接到其他帳戶，也可用于恢復密碼。這使它們對黑客特別有價值。此外，如果用戶不修改他們的默認路由器密碼，他們的本地網絡就容易受到攻擊。攻擊者可以嘗試一些簡單的默認密碼并獲得對整個網絡的訪問權限。

暴力破解列表中一些最常見的密碼包括：出生日期、孩子的名字、qwerty、123456、abcdef123、a123456、abc123、password、asdf、hello、welcome、zxcvbn、Qazwsx、654321、123321、000000、111111、 987654321、1q2w3e、123qwe、qwertyuiop、gfhjkm。強密碼可以更好地防止身份盜用、數據丟失、未經授權訪問帳戶等。

如何防止暴力破解密碼

為保護您的組織免受暴力破解密碼，請強制使用強密碼。密碼應該：

• 切勿使用可在網上找到的信息（例如家庭成員的姓名）。
• 擁有盡可能多的角色。
• 組合字母、數字和符號。
• 每個用戶帳戶都不同。
• 避免常見的模式。

作為管理員，您可以實施一些方法來保護用戶免受暴力密碼破解：

• 鎖定政策——您可以在多次登錄嘗試失敗后鎖定帳戶，然后以管理員身份解鎖。
• 漸進式延遲——您可以在登錄嘗試失敗后將帳戶鎖定一段有限的時間。每次嘗試都會使延遲變長。
• 驗證碼——像reCAPTCHA這樣的工具需要用戶完成簡單的任務才能登錄系統。用戶可以輕松完成這些任務，而暴力破解工具則不能。
• 要求強密碼——您可以強制用戶定義長而復雜的密碼。您還應該強制定期更改密碼。
• 雙因素身份驗證——您可以使用多個因素來驗證身份并授予對帳戶的訪問權限。