Cloudflare：什么是暴力攻擊？

什么是暴力攻擊？

暴力攻擊是一種試錯(cuò)方法，用于解碼敏感數(shù)據(jù)。暴力攻擊最常用于破解密碼和加密密鑰（繼續(xù)閱讀，了解加密密鑰詳情）。暴力攻擊的其他常見目標(biāo)包括 API 密鑰和 SSH 登錄信息。暴力破解密碼攻擊通常是通過腳本或者機(jī)器人針對(duì)網(wǎng)站登錄頁面實(shí)施的。

蠻力攻擊與其他破解方法的不同之處在于，蠻力攻擊不采用智力策略；他們只是嘗試使用不同的字符組合，直到找到正確的組合。這就像小偷試圖通過嘗試所有可能的數(shù)字組合直到保險(xiǎn)箱打開來闖入組合保險(xiǎn)箱。

暴力攻擊分別有哪些優(yōu)缺點(diǎn)？

暴力攻擊的最大優(yōu)勢(shì)在于它們執(zhí)行起來相對(duì)簡單，并且由于有足夠的時(shí)間加上缺乏針對(duì)性的防護(hù)策略，它們總是能夠成功。每個(gè)基于密碼的系統(tǒng)和加密密鑰都可以通過蠻力攻擊來破解。實(shí)際上，蠻力破解進(jìn)入系統(tǒng)所花費(fèi)的時(shí)間是衡量該系統(tǒng)安全級(jí)別的有用指標(biāo)。

另一方面，暴力攻擊非常緩慢，因?yàn)樵谶_(dá)到目標(biāo)之前，它們可能必須經(jīng)歷所有可能的字符組合。隨著目標(biāo)字符串中字符數(shù)的增加（字符串只是字符的組合），這種遲緩變得更加復(fù)雜。例如，四字符密碼的暴力破解時(shí)間比三字符密碼的破解時(shí)間長得多，而五字符密碼的破解時(shí)間比四字符密碼大得多。一旦字符數(shù)超過某個(gè)點(diǎn)，對(duì)一個(gè)進(jìn)行了適當(dāng)隨機(jī)化的密碼進(jìn)行暴力破解就變得不切實(shí)際。

如果目標(biāo)字符串足夠長，暴力攻擊者可能需花費(fèi)數(shù)天、數(shù)月甚至數(shù)年的時(shí)間來破解適當(dāng)組合的隨機(jī)密碼。當(dāng)前的趨勢(shì)是要求填寫更多位數(shù)的密碼和加密密鑰，因此，實(shí)施暴力攻擊就愈加困難。如果密碼或者加密設(shè)置巧妙，則攻擊者通常會(huì)采用社會(huì)工程學(xué)或者在途攻擊等其他方法破解。

如何防范暴力攻擊

管理授權(quán)系統(tǒng)的開發(fā)人員可采取如下措施：如鎖定登錄失敗次數(shù)過多的 IP 地址，以及在密碼檢查軟件中納入延時(shí)機(jī)制。即使是數(shù)秒延時(shí)，也能大大降低暴力攻擊的有效性。

Web 服務(wù)用戶可選擇更長的復(fù)雜密碼來降低暴力攻擊風(fēng)險(xiǎn)。此外，建議啟用雙因素身份驗(yàn)證，并為每項(xiàng)服務(wù)設(shè)定唯一密碼。如果攻擊者能夠暴力破解用戶某一項(xiàng)服務(wù)的密碼，則其可能重復(fù)使用相同的登錄信息和密碼登錄其他主流服務(wù)。這就是憑證填充。

用戶還應(yīng)避免在任何不使用強(qiáng)大加密密鑰保護(hù)其數(shù)據(jù)的網(wǎng)絡(luò)服務(wù)中輸入密碼或個(gè)人信息、例如信用卡號(hào)或銀行信息。

什么是加密密鑰？

加密密鑰是為加密和解密數(shù)據(jù)而生成的隨機(jī)位串。數(shù)據(jù)被加密后，它會(huì)顯示為一串隨機(jī)的混雜字符，直到使用正確的加密密鑰對(duì)其進(jìn)行解密為止。就像密碼一樣，蠻力攻擊可以破解加密密鑰，但是如今使用的加密密鑰需要花費(fèi)很長時(shí)間才能被現(xiàn)代計(jì)算機(jī)破解，因此它們被認(rèn)為是牢不可破的。

128位加密和256位加密有什么區(qū)別？

相比較短的加密密鑰，較長加密密鑰的安全性呈指數(shù)級(jí)上升。例如，針對(duì) 128 位加密密鑰，暴力攻擊者需要嘗試 2128 種可能的組合。針對(duì) 256 位加密密鑰，攻擊者需要嘗試 2256 種不同組合，這相比 128 位密鑰，所需計(jì)算能力要多出 2128 倍（2128 = 340,282,366,920,938,463,463,374,607,431,768,211,456 種可能組合）。

為了讓您能大致對(duì)這些數(shù)字有一定的概念，一臺(tái)功能強(qiáng)大的計(jì)算機(jī)每秒可檢查數(shù)萬億個(gè)組合，而它破解256位加密密鑰所需要的時(shí)間是10的96次方這么多年（即英國英語中的一個(gè) sexdecillion，1后面96個(gè)0）。

因當(dāng)前的暴力攻擊幾乎無法破解高位加密密鑰，建議所有收集用戶信息的 Web 服務(wù)都采用 256 位加密密鑰對(duì)其數(shù)據(jù)和通訊內(nèi)容進(jìn)行加密。Cloudflare 采用一流的 TLS 加密機(jī)制防止暴力攻擊，且已經(jīng)著手進(jìn)行針對(duì)量子計(jì)算的未來防護(hù)。