暴力破解攻擊：定義與例子

什麼是暴力破解攻擊？

暴力破解攻擊以不斷嘗試的方式來破解登入資訊、加密金鑰或尋找隱藏的網頁。駭客會嘗試所有可能的排列組合來猜測密碼並登入。

此類攻擊透過「暴力」方式進行，意味他們會以大量的嘗試次數「強行」登入您的私人帳戶。

雖然此種攻擊方法歷時已久，但依然有效並仍受到駭客的青睞。根據密碼的長度和複雜程度，破解過程可能只需要幾秒或需要多年的時間。

駭客為什麼要使用暴力破解攻擊？

暴力破解攻擊者需要花費一定程度的心思才能從此手法中得到好處。雖然科技的進步確實讓攻擊過程變得更容易，但您可能仍然會問：為什麼會有人要這樣做？

以下是駭客使用暴力破解攻擊的原因：

• 透過廣告或收集活動資料以獲利
• 竊取個人資料或貴重物品
• 傳播惡意軟體以造成破壞
• 劫持系統以進行惡意活動
• 破壞網站聲譽

透過廣告或收集活動資料以獲利。

駭客可能會與其他網站一起利用某網站來賺取廣告佣金。常見的方式包括：

• 在造訪人數較大的網站上投放垃圾廣告，以訪客的點擊或查看次數獲利。
• 將網站的流量重新路由至委託的廣告網站。
• 使用活動追蹤惡意軟體（通常是間諜軟體）感染網站或其訪客，且在未經同意的情況下將資料出售給廣告商，以幫助其改善行銷。

竊取個人資料或貴重物品。

線上帳戶受到入侵就像銀行金庫遭人開啟一樣：不論是銀行帳戶還是稅務資訊，所有內容都能在網路上找到。犯罪人士入侵成功即能竊取您的身分、金錢或出售您的私人登入憑證以獲得利益。有時，整個組織的敏感資料庫可能會因企業的資料外洩而遭受暴露。

傳播惡意軟體以造成破壞。

如果駭客想要製造麻煩或練習他們的技能，他們可能會將網站的流量重新導向到惡意網站。或者，他們可能會直接使用隱藏的惡意軟體感染網站，並將其安裝在訪客的電腦上。

劫持系統以進行惡意活動。

當裝置不夠用時，駭客會網羅多個未受保護的裝置，也稱為殭屍網路，來加速他們的行動。惡意軟體能滲透電腦、行動裝置或線上帳戶，進行垃圾郵件網路釣魚、增強型暴力破解攻擊等。如果沒有安裝防毒系統，則可能更容易受到感染。

破壞網站聲譽。

當網站成為惡意破壞的目標時，網路犯罪份子可能會決定在網站上傳播不當內容，其中可能包括暴力、色情或種族歧視性質的文字、圖像或音訊。

暴力破解攻擊的類型

每種暴力破解攻擊都各別能使用多種方法來取得敏感資料。常見的暴力破解方法包括：

• 簡易暴力破解攻擊
• 字典破解攻擊
• 混合暴力破解攻擊
• 反向暴力破解攻擊
• 憑證填充攻擊

簡易暴力破解攻擊：駭客試圖依據邏輯猜測您的登入憑證，完全無需軟體工具或其他方式的協助。此類方式能破解極其簡單的密碼和 PIN。例如：設定為「guest12345」的密碼。

字典破解攻擊：在一般的攻擊中，駭客會選擇單一目標並針對該使用者名稱執行可能的密碼，也被稱為字典破解攻擊。字典破解攻擊是暴力破解攻擊中最基本的工具。雖然其本身並不一定是暴力破解攻擊，但其通常被用作密碼破解的重要組成部分。有些駭客還會使用完整未節選的字典，並用特殊字元和數字來擴充單詞，或使用特殊單字的字典，但這種類型的攻擊很麻煩。

混合暴力破解攻擊：駭客將外部手法與邏輯猜測相互結合來嘗試入侵。混合攻擊通常混合字典破解攻擊和暴力破解攻擊，嘗試找出常見單字與隨機字元混合在一起的組合密碼。此類暴力破解攻擊的例子包括 NewYork1993 或 Spike1234 等類型的密碼。

反向暴力破解攻擊：顧名思義，反向暴力破解攻擊透過已知的密碼進行反向推測，駭客再自數百萬個用戶名稱中搜尋並找到符合的用戶名稱。許多犯罪人士都是從已發生的資料外洩中所洩漏的密碼著手。

憑證填充攻擊：如果駭客獲得能登入某個網站的使用者名稱和密碼組合，他們也會在大量其他網站上嘗試相同組合。眾所皆知，使用者經常在許多網站上重複使用相同的登入資訊而完全成為此類攻擊的目標。

暴力破解工具

猜測特定使用者或網站的密碼可能需要很長時間，因此駭客開發了多種工具來更快達成目的。

自動化工具能用於暴力破解攻擊。使用快速的隨機猜測來建立所有可能的密碼並嘗試以其進行登入。暴力破解軟體能在一秒鐘內找到單一字典密碼。

此類工具中已編寫了解決方法，以用於：

• 應對許多電腦協定（例如：FTP、MySQL、SMTP 和 Telnet）
• 協助駭客破解無線數據機。
• 發現強度不足的密碼
• 解密加密儲存中的密碼。
• 將單字轉化成火星文，例如：「don'thackme」轉成「d0n7H4cKm3」。
• 運行所有可能的字元組合。
• 進行字典破解攻擊。

某些工具能掃描預先計算好的彩虹表以查找已知雜湊函數的輸入和輸出。此類「雜湊函數」是基於演算法的加密方法，用於將密碼轉換為長的、固定長度的字母和數字序列。換句話說，彩虹表消除了暴力攻擊中最困難的部分並能加快攻擊過程。

GPU 加速暴力破解

運行暴力破解密碼軟體需要大量的電腦運算能力。不幸的是，駭客已經找到硬體解決方案，讓此方面變得更加容易克服。

將 CPU（中央處理器）和 GPU（圖形處理器）相互結合即可提升運算能力。透過在 GPU 中新增數千個運算核心進行處理，就能讓系統同時處理多個任務。因 GPU 處理應用於分析、工程和其他運算密集型的應用程式，駭客使用此種方式破解密碼的速度比單獨使用 CPU 快約 250 倍。

那麼，破解密碼需要多久時間呢？客觀而言，六個字元的密碼大約有 20 億種可能的組合，如使用每秒能嘗試 30 個密碼的強大 CPU 來進行破解，則需要兩年以上的時間。同時增加單個強大的 GPU 後，同台電腦每秒就能嘗試 7,100 個密碼，則 3.5 天內即可破解密碼。

專業密碼保護方式

為了保障您自己和網路的安全，您需要採取預防措施並幫助其他人也這樣做。使用者行為和網路安全系統都需要加強。

無論是 IT 專家還是一般使用者，都需要牢記一些一般性的建議：

• 使用高階的使用者名稱和密碼。避免使用 admin 或 password1234 並改用更高強度的登入憑證，以保護自己並阻止攻擊者，因為密碼組合的強度越高，想要破解就越困難。
• 刪除所有沒有使用但具有高階權限的帳戶。此類帳戶在網路上相當於沒有妥善上鎖的門，讓有心人士能輕鬆破門而入。未經常維護的帳戶是經不起冒險的漏洞，請盡快將其刪除。

有了基礎的認知後，您還可考慮進一步增強安全性並幫助其他使用者。

我們首先將探討您可在後端執行的操作，然後再探討能提升安全習慣的建議。

密碼的被動後端保護

高加密率：為了讓暴力破解攻擊更難成功，系統管理員應確保其系統的密碼使用更高的加密率進行加密，例如：256 位元加密。加密率越高，密碼就越難破解。

加鹽雜湊：管理員還應該透過向密碼本身添加隨機的字母和數字字串（稱為鹽）來隨機化密碼雜湊。該字串應儲存在單獨的資料庫中，並在進行雜湊處理前擷取並添加到密碼中。雜湊在加鹽後能讓具有相同密碼的用戶將能有不同的雜湊。

雙因素驗證（2FA）：此外，管理員還可以要求兩步驟驗證並安裝偵測暴力破解攻擊的入侵偵測系統。雙因素驗證能要求用戶使用第二種因素來完成登入嘗試，例如：實體 USB 金鑰或指紋生物辨識掃描。

限制登入重試次數：限制嘗試次數也可以降低暴力破解攻擊的可行性。例如：在三次嘗試輸入密碼後將用戶鎖定幾分鐘，進而讓攻擊受到嚴重延遲，導致駭客放棄並轉而尋找其他較容易的目標。

多次登入嘗試後帳戶鎖定：如果受到臨時鎖定後仍可無限次數重試密碼，則駭客可能會考慮返回重試。鎖定帳戶並要求使用者聯絡 IT 部門解鎖即可阻止此狀況。較短的鎖定時間對使用者來說更為方便，但便利性同時也可能造成漏洞。為了取得兩者間平衡，可以設定在短時間封鎖後出現過多登入失敗時轉為長時間鎖定。

限制重複登入的速率：您可以每次登入嘗試之間設定等待時間來進一步減慢攻擊者的攻擊速度。當登入失敗後，短時間拒絕再次嘗試登入，讓您的即時監控團隊能有時間來發現並阻止此類威脅。有些駭客也可能因等待時間太長而停止嘗試。

多次登入嘗試後需要驗證碼：手動驗證確實能阻止機器人暴力破解資料。驗證碼有多種類型，包括輸入影像中的文字、勾選方框或辨識圖片中的物件。無論使用什麼，該功能都能在首次嘗試登入前和每次失敗嘗試之間提供進一步的保護。

使用 IP 拒絕清單來封鎖已知的攻擊者。確保管理人員不斷更新該清單。

主動 IT 支援密碼保護

密碼教育：使用者的行為對於密碼安全非常重要。對使用者進行安全實踐和工具方面的教育，以幫助他們追蹤密碼。卡巴斯基密碼管理器等服務能幫助使用者將複雜、難以記住的密碼保存在加密的「保管庫」中，取代將其寫在便籤所帶來的風險。由於使用者往往會為了方便而犧牲自己的安全，因此請務必協助他們使用方便的工具以確保安全。

即時監視帳戶是否出現異常活動：異常的登入位置、過多的登入嘗試等。觀察異常活動的狀況，並採取措施即時阻止任何潛在的攻擊者。留意 IP 位址封鎖、帳號鎖定，並聯絡使用者以確定帳戶活動是否正常（如果出現可疑活動）。

使用者增強密碼以抵禦暴力破解攻擊的方方式

使用者能採取很多措施來提升數位世界中的保護。防範密碼攻擊的最佳防禦措施是確保您的密碼強度越高越好，

因為暴力破解攻擊需要時間來破解密碼。因此，請確保密碼能盡可能減慢破解攻擊的速度，因為如果花費太長時間，攻擊就變得不值得，大多數駭客都會放棄並轉而攻擊其他目標。

下列幾種方法能提升密碼強度以抵禦暴力破解攻擊：

具有多種字元類型的較長密碼。如果可以，使用者應選擇至少 10 個字元並含有符號或數字的密碼，如此一來便有 1.713 萬兆的可能組合。使用每秒嘗試 103 億次雜湊的 GPU 處理器，破解密碼大約需要 526 年。不過，超級電腦則可以在幾週內破解。按照相同邏輯，如含有更多字元，則密碼就會更難破解。

精心設計的密碼短語。並非所有網站都能設定高長度密碼，這表示應該選擇複雜的密碼而非由單字湊成。字典破解攻擊是專門針對字詞建構，幾乎可以毫不費力地成功攻擊。密碼短語（由多個單字或片段組成的密碼）應參雜額外的字元和特殊字元。

訂立密碼的建構規則。最好的密碼是您能記住但對他人而言是亂碼的密碼。建立密碼短語時，請考慮使用截斷的單詞，例如將「wood」替換為「wd」以建立僅對您有意義的字串，其他方式可能包括刪除母音或僅使用每個單字的前兩個字母。

避免使用常見的密碼。避免使用常見的密碼並經常更改密碼非常重要。

為您使用的每個網站分別使用不同密碼。為了避免受到憑證填充的攻擊，切勿重複使用密碼。如果您想提高安全性，請為每個網站分別使用不同的使用者名稱。如此一來，如果您的某個帳戶遭到入侵，其他帳戶則不會連同受到損害。

使用密碼管理器。安裝密碼管理器可以自動建立和追蹤您的線上登入資訊，並能透過先登入密碼管理器來存取您的所有帳戶。然後，您可以為您造訪的所有網站建立長度極長且複雜的密碼並安全儲存，而只需記住一個主密碼。

如果您想知道「破解我的密碼需要多長時間」，您可以使用 https://password.kaspersky.com 測試密碼強度。

卡巴斯基安全軟體在 2021 年榮獲了兩項 AV-TEST 獎項，分別是網路安全產品最佳性能和保護。在所有測試中，卡巴斯基安全軟體都表現出對網路威脅的出色性能和保護。