當使用Rainbow表時,它幾乎將上下文限制為攻擊散列的密碼文件/存儲庫。但是,攻擊者可以發起暴力攻擊,以手動或自動嘗試針對系統輸入用戶密碼,或者在沒有字典或Rainbow表支持的情況下破解密碼文件/存儲庫。換句話說,無論密碼如何存儲,暴力密碼攻擊都可以應用於系統或密碼文件/存儲庫。
密碼通常可以以下格式存儲:
- 原始值(純文本)
- 加密值(密文)
- 哈希值(彩虹表僅適用於此格式)
- 鹽值
暴力攻擊適用於上述所有四種格式,而Rainbow表僅適用於哈希密碼。
定義
. 一個暴力攻擊(brute-force attack)是一種上採用了一個密碼攻擊窮舉搜索(exhaustive search)一組密鑰,密碼或其他數據。(ISO / IEC 11770-4:2017)
. 一個窮舉攻擊(exhaustive attack),又名暴力攻擊(brute-force attack),是一種“試錯嘗試,試圖違反計算機安全可能的口令或密碼的值。” (ISO / IEC 2382:2015)
. 暴力密碼攻擊(brute force password attack)是“通過試圖訪問阻塞的裝置的方法的多個數字/字母數字口令的組合。” (NIST SP 800-101修訂版1)
. 一個暴力攻擊(brute force attack)是“在密碼學中,涉及試圖攻擊所有可能的組合,以找到一個匹配。” (NISTIR 8053)
. 一個字典攻擊(dictionary attack)(基於密碼的系統)是對使用搜索的的密碼“攻擊定列表的密碼。基於密碼的系統上的字典攻擊可以使用特定密碼值的存儲列表或自然語言字典中的單詞存儲列表。”(ISO / IEC 11770-4:2017)
. 鹽值(Salt)是作為單向或加密功能的輔助輸入而合併的隨機變量,用於導出密碼驗證數據。” (ISO / IEC 11770-4:2017)
資料來源: Wentz Wu 網站
以下資料來源為:https://zh.wikipedia.org/wiki/%E8%9B%AE%E5%8A%9B%E6%94%BB%E5%87%BB
蠻力攻擊(英語:Brute-force attack)[1],又稱為窮舉攻擊(英語:Exhaustive attack)或暴力破解,是一種密碼分析的方法,即將密碼進行逐個推算直到找出真正的密碼為止。例如:一個已知是四位數並且全部由阿拉伯數字組成的密碼,其可能共有10000種組合,因此最多嘗試9999次就能找到正確的密碼。理論上除了具有完善保密性的密碼以外,利用這種方法可以破解任何一種密碼,問題只在於如何縮短試誤時間。有些人運用電腦來增加效率,有些人透過字典攻擊來縮小密碼組合的範圍。[2]
字典攻擊
破譯一個相當長度並且包含各種可能字元的密碼所耗費的時間相當長,其中一個解決辦法就是運用字典。所謂「字典攻擊」就是使用預先製作好的清單,例如:英文單字、生日的數字組合、以及各種常被使用的密碼,等等,利用一般人習慣設定過短或過於簡單的密碼進行破譯,很大程度上縮短了破譯時間。
防護手段
最重要的手段是在構建系統時要將系統設計目標定為即便受到暴力破解的攻擊也難以被攻破。以下列舉了一些常用的防護手段: