蠻力攻擊

  此條目介紹的是密碼學上的暴力破解方法。關於數學上的窮舉法，請見「窮舉法」。關於計算機科學中的暴力搜索，請見「暴力搜索」。

蠻力攻擊（英語：Brute-force attack）^[1]，又稱為窮舉攻擊（英語：Exhaustive attack）或暴力破解，是一種密碼分析的方法，即將密碼逐個推算直到找出真正的密碼為止。例如：一個已知是四位數並且全部由阿拉伯數字組成的密碼，其可能共有10,000個組合，因此最多嘗試9,999次就能找到正確的密碼。理論上除了具有完善保密性的密碼以外，利用這種方法可以破解任何一種密碼，問題只在於如何縮短試誤時間。有些人運用計算機來增加效率，有些人透過字典攻擊來縮小密碼組合的範圍。^[2]

字符類型

字符類型一般可以分為以下5種：

• 阿拉伯數字：0、1、2、...9等（10個）
• 大寫字母：A、B、C、...Z等（26個）
• 小寫字母：a、b、c、...z等（26個）
• 特殊字符：!、#、$、%、~等等（33個），一般較少使用。
• 用戶自定義字符

如果一個多位數並且包含以上所有可能字元的密碼，其組合方法一定多的驚人，且每增加一位數，密碼組合數量會以數十倍指數成長（例如：包含數字及字母大小寫，共62個字元的10位數的密碼，共有${\displaystyle 62^{10}}$，大約${\displaystyle 83.9\times 10^{16}}$種組合），破譯的時間也會更長，有時可能長達數十年（即便考慮電腦性能依摩爾定律的進步），甚至更久。

由於窮舉法破解所消耗的時間不小於完成破解所需要的多項式時間，故從密碼學角度考慮，不認為窮舉法是有效的破解方法。

字典攻擊

破譯一個相當長度並且包含各種可能字元的密碼所耗費的時間相當長，其中一個解決辦法就是運用字典。所謂「字典攻擊」就是使用預先製作好的清單，例如：英文單字、生日的數字組合、以及各種常被使用的密碼，等等，利用一般人習慣設定過短或過於簡單的密碼進行破譯，很大程度上縮短了破譯時間。

超級計算機與窮舉法

在一些領域為了提高密碼的破譯效率而專門為其製造的超級計算機也不在少數，例如：用於破解DES加密法的「深譯」及IBM為美國軍方製造的「颶風」。^{[來源請求]}

防護手段

最重要的手段是在構建系統時要將系統設計目標定為即便受到暴力破解的攻擊也難以被攻破。以下列舉了一些常用的防護手段：

• 增加密碼的長度與複雜度。
• 在系統中限制密碼嘗試的次數。
• 密碼驗證時，將驗證結果不是立即返回而是延時若干秒後返回。
• 限制允許發起請求的客戶端的範圍。
• 禁止密碼輸入頻率過高的請求。
• 將密碼設置為類似安全令牌那樣每隔一定時間就發生變化的形式。
• 當同一來源的密碼輸入出錯次數超過一定閾值，立即通過郵件或短信等方式通知系統管理員。
• 人為監視系統，確認有無異常的密碼試錯。
• 使用兩步驟認證，例如使用者登入帳號密碼時，系統同時發送簡訊到使用者的手機，使用者需輸入簡訊內的認證碼。

參考文獻