所謂“字典攻擊”就是使用預先制作好的清單,例如:英文單字、生日的數字組合、以及各種常被使用的密碼,等等,利用壹般人習慣設置過短或過於簡單的密碼進行破譯,很大程度上縮短了破譯時間。
破譯壹個相當長度並且包含各種可能字符的密碼所耗費的時間相當長,其中壹個解決辦法就是運用字典。
例如:壹個已知是四位數並且全部由阿拉伯數字組成的密碼,其可能***有10000種組合,因此最多嘗試9999次就能找到正確的密碼。理論上除了具有完善保密性的密碼以外,利用這種方法可以破解任何壹種密碼,問題只在於如何縮短試誤時間。
有些人運用計算機來增加效率,有些人透過字典攻擊來縮小密碼組合的範圍。
如果壹個多位數並且包含以上所有可能字符的密碼,其組合方法壹定多的驚人,且每增加壹位數,密碼組合數量會以數十倍指數成長,破譯的時間也會更長,有時可能長達數十年(即便考慮電腦性能依摩爾定律的進步),甚至更久。
由於窮舉法破解所消耗的時間不小於完成破解所需要的多項式時間,故從密碼學角度考慮,不認為窮舉法是有效的破解方法。
防護手段
最重要的手段是在構建系統時要將系統設計目標定為即便受到暴力破解的攻擊也難以被攻破。以下列舉了壹些常用的防護手段:
1、增加密碼的長度與復雜度。
2、在系統中限制密碼嘗試的次數。
3、密碼驗證時,將驗證結果不是立即返回而是延時若幹秒後返回。
4、限制允許發起請求的客戶端的範圍。
5、禁止密碼輸入頻率過高的請求。
6、將密碼設置為類似安全令牌那樣每隔壹定時間就發生變化的形式。
7、當同壹來源的密碼輸入出錯次數超過壹定閾值,立即通過郵件或短信等方式通知系統管理員。
8、人為監視系統,確認有無異常的密碼試錯。
9、使用雙因子認證,例如用戶登錄賬號密碼時,系統同時發送短信到用戶的手機,用戶需輸入短信內的認證碼。