蛮力和字典攻击

Wörterbuch-Angriffe

在字典攻击中，攻击者使用一个单词列表来表示希望。, 用户的密码是一个常用的单词(或密码), 在以前的网站上可以看到). 对于基于单个单词的密码，字典术语是最佳的。. B. “牛仔和长角牛”。. Wortlisten sind nicht auf englische Wörter beschränkt; sie enthalten oft auch gebräuchliche Kennwörter (z. B. “密码”、“让我”或“iloveyou”或“123456”). 然而，现代系统限制并要求用户。, 他们发明了强大的密码, 希望在单词列表中找不到.

Brute-Force-Angriffe

发动蛮力攻击, 攻击者可以使用工具, 尝试所有字母和数字的组合, in der Erwartung, 猜猜密码. Wenn der Angreifer weiß, 一个组织要求在密码中使用特殊字符, 可以使用这个工具, Buchstaben, 包括数字和符号. 任何密码，无论多么强大，都容易受到这种攻击。. 但是，这种方法需要一些时间(如果密码足够长，则需要数年时间)。.

创建短密码所需的时间(例如:. B. 破解四位数密码)可能不到一分钟。. 扩展到6个字符可能需要一个小时. 扩展到8个字符，包括字母和特殊字符，可能需要几天时间。. Beachten Sie, 每一个新的标志都代表着时间, 需要蛮力攻击的, 发现密码, exponentiell erhöht. 因此，一个强大而冗长的密码可能需要数周或数月的时间。. 但如果有足够的计算能力和一个特别专注的攻击者，密码最终会被发现。.

字典和蛮力攻击的最佳防御

使用强, 不寻常的密码使攻击者的工作更加困难, aber nicht unmöglich. 幸运的是，还有其他的预防措施。, 最终用户和系统管理员可以使用, 为了防止(或检测)这些攻击:

减慢重复注册: 这是最简单的对策。. 最终用户将获得0的延迟,1秒登录时可能没有注意到, 但对于攻击者来说，这种延迟会很快累积起来。, 特别是如果他不能同时尝试注册.

在多次登录失败后设置验证码: 即使用户可能只是忘记了, 他的账户密码是什么, 这可以大大减缓攻击者的速度. 这是一种很好的形式 Abschreckung，因为现代验证码很难用计算机破解. 许多验证码需要手动输入才能解决。.

Konten sperren: Besser noch, 系统可以这样配置, 帐户在一定次数的登录尝试后被锁定. 许多网站对反复尝试错误密码的帐户提供额外的保护。. Im Extremfall wird z. B. iPhone在10次尝试后自毁(所有数据被删除).

Passwörter aktualisieren: 现代系统通常要求用户定期更新密码。. 在一些企业环境中，用户必须每90天甚至30天更改一次密码。. Der Grund dafür ist, dass ein Angreifer, 试图对复杂密码进行暴力攻击, 成功需要几周时间. 如果密码在这段时间内发生了变化，攻击者将不得不重新开始。. 然而，有多少用户会承认, 可能会使这些严格的密码要求适得其反, da die Benutzer schwächere, 选择顺序密码(longhorns2018)。, 《pg电子》等). 攻击者很快就会尝试增加密码。.

监测违规行为: 最后，具有安全意识的公司应该监控用户帐户的异常情况。, wie z. B. 未识别的位置或设备登录或重复登录错误. Ein besetztes 安全行动中心(SOC) 能够实时识别这些事件并快速做出反应, indem es ein Konto sperrt, eine IP-Adresse blockiert, 联系用户并查找该特定攻击者的其他活动.

字典攻击和蛮力攻击更容易对付简单的系统。, 前门有保障的通道. 只有在更复杂的环境中，这些攻击才有意义。, 当尝试是正常活动的一部分或针对离线密码数据库时, 破解密码散列. 然而，这些技术对于任何安全专家来说都是工具集的优秀补充。, 并强调定期为最终用户更新强密码的重要性.