破譯壹個長度相當長、可能包含各種字符的密碼需要很長時間。解決方法之壹是使用字典。
比如,壹個已知為四位數字、全部由阿拉伯數字組成的密碼,可能* * *有10000種組合,妳最多嘗試9999次就能找到正確的密碼。理論上,除了保密性非常好的密碼,任何密碼都可以用這種方法破解。唯壹的問題是如何縮短試錯時間。
有人用電腦提高效率,有人用字典攻擊縮小密碼組合範圍。
如果壹個多位密碼包含了以上所有可能的字符,其組合方式壹定是驚人的,每增加壹位數字,密碼組合的數量就會成倍增加幾十倍,解碼的時間也會更長,有時長達幾十年(即使按照摩爾定律考慮計算機性能的進步),甚至更長。
因為窮舉法消耗的時間不小於完成破解所需的多項式時間,所以從密碼學的角度來看,窮舉法並不被認為是壹種有效的破解方法。
保護措施
最重要的手段是設定即使被暴力破解攻擊也難以被攻破的系統設計目標。以下是壹些常見的保護措施:
1.增加密碼的長度和復雜性。
2.限制系統中密碼嘗試的次數。
3.在密碼驗證中,驗證結果不會立即返回,而是在幾秒鐘的延遲後返回。
4.限制允許發起請求的客戶端範圍。
5.禁止密碼輸入頻率過高的請求。
6.將密碼設置為像安全令牌壹樣定期更改的形式。
7.當同壹來源的密碼輸入錯誤次數超過壹定閾值時,立即通過電子郵件或短信通知系統管理員。
8、人工監控系統,確認密碼試錯有無異常。
9.使用雙因素身份驗證。比如用戶登錄賬號密碼,系統同時向用戶手機發送短信,用戶需要輸入短信中的驗證碼。