分類
CISSP

暴力攻擊(Brute Force Attack)

當使用Rainbow表時,它幾乎將上下文限制為攻擊散列的密碼文件/存儲庫。但是,攻擊者可以發起暴力攻擊,以手動或自動嘗試針對系統輸入用戶密碼,或者在沒有字典或Rainbow表支持的情況下破解密碼文件/存儲庫。換句話說,無論密碼如何存儲,暴力密碼攻擊都可以應用於系統或密碼文件/存儲庫。
密碼通常可以以下格式存儲:

  1. 原始值(純文本)
  2. 加密值(密文)
  3. 哈希值(彩虹表僅適用於此格式)
  4. 鹽值
    暴力攻擊適用於上述所有四種格式,而Rainbow表僅適用於哈希密碼。

定義
. 一個暴力攻擊(brute-force attack)是一種上採用了一個密碼攻擊窮舉搜索(exhaustive search)一組密鑰,密碼或其他數據。(ISO / IEC 11770-4:2017)
. 一個窮舉攻擊(exhaustive attack),又名暴力攻擊(brute-force attack),是一種“試錯嘗試,試圖違反計算機安全可能的口令或密碼的值。” (ISO / IEC 2382:2015)
. 暴力密碼攻擊(brute force password attack)是“通過試圖訪問阻塞的裝置的方法的多個數字/字母數字口令的組合。” (NIST SP 800-101修訂版1)
. 一個暴力攻擊(brute force attack)是“在密碼學中,涉及試圖攻擊所有可能的組合,以找到一個匹配。” (NISTIR 8053)
. 一個字典攻擊(dictionary attack)(基於密碼的系統)是對使用搜索的的密碼“攻擊定列表的密碼。基於密碼的系統上的字典攻擊可以使用特定密碼值的存儲列表或自然語言字典中的單詞存儲列表。”(ISO / IEC 11770-4:2017)
. 鹽值(Salt)是作為單向或加密功能的輔助輸入而合併的隨機變量,用於導出密碼驗證數據。” (ISO / IEC 11770-4:2017)

資料來源: Wentz Wu 網站

以下資料來源為:https://zh.wikipedia.org/wiki/%E8%9B%AE%E5%8A%9B%E6%94%BB%E5%87%BB

蠻力攻擊(英語:Brute-force attack)[1],又稱為窮舉攻擊(英語:Exhaustive attack)或暴力破解,是一種密碼分析的方法,即將密碼進行逐個推算直到找出真正的密碼為止。例如:一個已知是四位數並且全部由阿拉伯數字組成的密碼,其可能共有10000種組合,因此最多嘗試9999次就能找到正確的密碼。理論上除了具有完善保密性的密碼以外,利用這種方法可以破解任何一種密碼,問題只在於如何縮短試誤時間。有些人運用電腦來增加效率,有些人透過字典攻擊來縮小密碼組合的範圍。[2]

字典攻擊

破譯一個相當長度並且包含各種可能字元的密碼所耗費的時間相當長,其中一個解決辦法就是運用字典。所謂「字典攻擊」就是使用預先製作好的清單,例如:英文單字、生日的數字組合、以及各種常被使用的密碼,等等,利用一般人習慣設定過短或過於簡單的密碼進行破譯,很大程度上縮短了破譯時間。

防護手段

最重要的手段是在構建系統時要將系統設計目標定為即便受到暴力破解的攻擊也難以被攻破。以下列舉了一些常用的防護手段:

  • 增加密碼的長度與複雜度。
  • 在系統中限制密碼嘗試的次數。
  • 密碼驗證時,將驗證結果不是立即返回而是延時若干秒後返回。
  • 限制允許發起請求的客戶端的範圍。
  • 禁止密碼輸入頻率過高的請求。
  • 將密碼設定為類似安全權杖那樣每隔一定時間就發生變化的形式。
  • 當同一來源的密碼輸入出錯次數超過一定閾值,立即通過郵件或簡訊等方式通知系統管理員。
  • 人為監視系統,確認有無異常的密碼試錯。
  • 使用雙因子認證,例如使用者登入帳號密碼時,系統同時發送簡訊到使用者的手機,使用者需輸入簡訊內的認證碼。

作者: stevencho

從事資訊工作二十多年,對資安極具熱情,在 Network Security, Endpoint Security, 及 Mobile Security 等資安領域有超過十年以 上的經驗。曾任職精誠資訊資安產品代理部門技術經理,負責 資安產品之技術支援與大型企業導入專案。此外,他也取得了 ISO 27001 主導稽核員證書及 Check Point 的 CCSA 與 CCSE 等防 火牆產品的專業證照。