暴力网络攻击可用于通过反复试验的过程来猜测密码以及其他凭据,最终导致强制进入站点、帐户或数据库。通常,这些攻击将测试短语和字符的不同组合,直到确定正确的组合。
虽然暴力攻击并不是最复杂的数字威胁,但它们仍然可靠,并且可以轻松实现自动化。实际上,威瑞森证实2020 年发生的违规行为中有 80% 涉及某种暴力攻击。
那么,这些攻击是如何发生的,以及可以采取哪些措施来防止它们呢?
什么是暴力攻击
想象一下,您是一名小偷,试图找出挂锁的密码。如果没有任何关于正确组合的线索或提示,您几乎只能自己弄清楚,对吗?您可以随机猜测,也可以从“0000”开始。无论哪种方式,这基本上都是暴力攻击。
这些网络攻击试图以相对简单的方式“强制”进入帐户。暴力攻击已经存在了一段时间,并且只要人们使用弱密码,它就会继续成为一种威胁。
密码通常是暴力攻击的目标,暴力攻击将测试常见短语、字符、符号和字典术语的各种组合,直到找到匹配项并授予访问权限(对相关网站)。暴力攻击还可用于破解加密密钥或嗅出隐藏的网页。
这些攻击的简单性使得它们非常容易通过脚本或机器人实现自动化 - 您也不必成为技术向导来设置它们,甚至不必费力搜索才能找到必要的工具。通过自动化系统,攻击者可以针对特定的登录页面或用户,并在几秒钟内测试数千个潜在密码……同时他们在另一台显示器上滚动浏览 Twitter,或者查看有什么内容。 Netflix 上的新内容。甚至可以同时运行多个暴力攻击!
幸运的是,暴力攻击需要时间。测试所有这些潜在的密码是一个耗时的过程。如果密码很复杂,情况尤其如此——密码越长,破解就越困难,攻击者更有可能感到无聊并放弃。
因此,这些攻击在解决短密码时往往更有效,尽管有不同类型的暴力攻击在针对安全凭证时效果更好 - 我稍后会介绍这些攻击。
想象一下,您正试图再次解锁那把挂锁。手动测试每个组合是一项巨大的承诺......并且可能是最后的手段。暴力攻击是相似的,因为攻击背后的骗子通常在没有任何线索或额外软件来帮助他们破译正确的凭据组合的情况下进行攻击。
什么是加密密钥?
暴力攻击也可以破译加密密钥,但这是一个更难的问题,因为现代加密密钥在很大程度上被认为是不可能破解的。
加密密钥是一串随机位,用于对数据进行加扰和解密,以保持数据的良好和私密性。一旦您的数据被扰乱,任何人都无法读取它......除非他们拥有您的加密密钥。幸运的是,破解大多数加密密钥将需要更多时间比宇宙存在的时间还要长,而且我很确定没有人有那么多空闲时间。
暴力攻击的类型
为了跟上我们使用的技术和保护技术的方法,网络威胁不断发展,暴力攻击也不例外。下面,您将发现一些更常用的暴力攻击类型,尽管它们的执行方式略有不同,但它们都共享相同的试错方法。
简单的暴力攻击
这是最基本的暴力攻击形式,它试图通过费力的反复试验过程来破译密码,并且所有这些都没有任何外部帮助或提示——这意味着没有来自补充软件、数据泄露或可能被黑客利用的已知漏洞的帮助。
您可能认为这种攻击在 2025 年不会可行,但数量惊人的人仍然使用非常基本、不安全的密码。这些正是简单的暴力攻击所擅长破解的密码。简单的暴力攻击也可用于破解本地文件,其中输入密码尝试的次数没有限制。
字典攻击
字典攻击比普通的暴力攻击要复杂一些,但与蠕虫、勒索软件等其他网络攻击相比,仍然被认为是初级的。DDOS 攻击。
在字典攻击期间,网络犯罪分子会选择目标并使用常见密码短语列表来尝试强制进入。虽然这种方法比搜索字母和数字的随机组合更具体,但仍然有无数的短语和字典单词可以构成密码。因此,一些网络犯罪分子利用从过去的数据泄露中获取的密码和凭据列表进行工作。然而,这些列表非常庞大,字典攻击仍然是一个非常繁琐的时间投入。
混合暴力攻击
您可能已经猜到了,混合暴力攻击结合了字典和简单攻击的方法,对用于尝试强制登录的短语或字典术语进行少量修改。通常,进行混合攻击的网络犯罪分子已经知道他们试图破解的帐户的用户名,并且将再次依赖先前泄露的密码列表。
然而,混合攻击每次都会改变一些字符。如果黑客怀疑密码将单词与随机符号和数字组合在一起,并且在撞库攻击期间派上用场,则这尤其有用,在撞库攻击中,黑客可能需要考虑用户在一段时间内稍微调整其密码的情况。
反向暴力攻击
当攻击者知道您的密码但不知道您的用户名时,他们可能会发起反向暴力攻击。有时,攻击者甚至会从常用密码或先前在泄露中泄露的凭据列表中提取信息,并使用该信息根据用户名列表搜索匹配的登录信息。
就像常规的暴力攻击一样,攻击者的机器人或脚本将根据该密码测试用户名,直到找到正确的组合。不幸的是,“密码”以及该短语的弱变体仍然是一个非常常见的密码,这使得这种攻击即使在今天也取得了惊人的成功。
暴力攻击的目标
因此,现在知道暴力攻击是相当麻烦、耗时且过时的网络攻击模式,您可能想知道发起暴力攻击的意义何在?黑客经历了这些麻烦之后能得到什么?
不幸的是,答案相当多。成功的暴力攻击意味着攻击者可以:
- 访问您的个人帐户和数据
- 访问您的系统并通过注入恶意软件破坏它
- 在网络上传播恶意软件
- 嗅探隐藏的网页和目标漏洞
- 编辑网站(包含文本、图像、成人内容或攻击性材料)以诽谤所有者或企业
- 通过在网站上放置垃圾邮件广告来创收
- 将网络流量重新路由到广告网站
如何防止暴力攻击
这并不全是厄运和阴郁!暴力攻击一旦成功,可能会非常有效,但它们也很容易被阻止——您只需要对您的数字隐私采取积极主动的方法即可。我在下面列出了一些避免成为暴力攻击受害者的最佳且最简单的方法。
使用复杂的密码
这是列表中的第一个,因为这是理所当然的。密码越长,暴力攻击就越难破解它——密码越长,潜在的组合就越多,对吗?因此,我建议您将所有密码设置为至少十个字符长,并且我还建议您添加一些数字、特殊字符和大写字母,以使其更安全,并让黑客的工作变得更加困难。
不要太明显
如果您的密码是“password”或该词的任何变体,那么您就有问题了。这些明显的密码是黑客在发起字典攻击时最先猜测的东西,因此您需要尽可能远离常见的密码短语!您还需要避免使用单字密码。除了添加我之前提到的那些特殊字符之外,还可以考虑拼接两个或多个单词,以获得真正难以破解的密码。
考虑使用密码管理器
显然,人们选择弱密码的首要原因之一是它们很容易记住。如果您对所有帐户使用不同的密码(我强烈建议这样做!),那么您很快就会发现自己需要跟踪数十个密码,甚至可能会用尽强密码的想法。幸运的是,密码管理器只需支付少量月费即可为您处理这一切。他们将跟踪您的所有登录信息,只需单击按钮即可生成超级安全的密码,甚至可以提醒您定期切换密码。
选择加入双因素身份验证
大多数网站和服务现在都提供 2FA(双因素身份验证),这对您的数字隐私有很大的促进作用,强烈推荐!启用 2FA 后,您需要在登录站点之前提供额外的身份证明。这有时意味着通过配套应用程序验证您的身份或输入短信发送给您的一次性代码;无论哪种方式,这都会使黑客更难访问您的帐户,因为即使他们碰巧拥有您的密码和用户名,他们也无法提供额外的验证!
最后的想法
人们很容易将暴力攻击视为过去时代的过时、过时的威胁,但这是一种冒险的态度!许多网络犯罪分子仍然使用该方法系统地破解密码并窃取用户数据。这是一个缓慢的过程,但只要人们没有正确保护自己的帐户,它就会是一个成功的过程。
因此,请确保您的密码符合要求并定期更改它们 - 如果您需要额外的帮助,请查看密码管理器。