暴力破解(Brute-forceAttack)又被称为穷举破解,是一种密码的破译方法,即将密码进行逐个尝试直到找出真正的密码为止。例如,一个已知是四位并且全部由数字组成的密码,其可能共有种组合,因此最多尝试次就能找到正确的密码。理论上利用这种方法可以破解任何一种密码,问题只在于如何缩短试误时间。有些人运用计算机来提高效率,有些人则辅以字典来缩小密码组合的范围。
典型的暴力攻击表现为攻击者通过大量的尝试来试图登录系统。在多数情况下,用户名是已知的,而只需要猜测密码。
常见的防御方法有以下几种。
(1)使用验证码进行验证登录。
(2)使用Token生成form_hash,然后验证。
(3)使用随机数时,要确保用户无法获取随机数生成算法。
(4)身份验证需要用户凭短信、邮件接收验证码时,需要对验证次数进行限制。
(5)限制某时间段内验证次数。
(6)用户在设置密码时要求用户使用特殊字符和字母数字组合,并限制最小长度。