​​什么是暴力破解？

暴力破解也可称为穷举法、枚举法，是一种比较流行的密码破译方法，也就是将密码进行一一推算直到找出正确的密码为止。比如一个6位并且全部由数字组成的密码，可能有100万种组合，也就是说最多需要尝试100万次才能找到正确的密码，但也有可能尝试几次后就能找出正确的密码。从理论上来说，只要字典足够庞大，枚举总是能够成功的，也就是说任何密码都能被破解，只是时间的问题；为了加快破解的效率，“有心人”会利用计算机来缩短破解的时间。

如何防止暴力破解？

对于个人来说，防止暴力破解的方法可以将密码设置到更高级别，也就是将密码的复杂程度提高，比如：增加密码位数并且设置时采取大小写字母、特殊符号、数字等多种无规律混合的方式组合而成。密码设置规律应当规避一些特定的规则、使用习惯等容易生成字典的规则来保证密码的安全性，比如有些人喜欢用身边的事、物、特定的字符串等去组合密码，比较常见就是使用键盘的排序进行组合密码，这种密码是比较容易通过生成字典库进行暴力破解匹配出来的。

除此之外，还需要提高个人的安全意识，定期修改密码，保证账号的安全性；同时可对个人身份进行二次验证，比如手机短信确认、指纹认证、手势验证等，这样在很大程度上都能减少甚至能终止暴力破解。

对于企业来说，密码信息泄漏无疑是一场灾难；越来越多的企业在不断谋求发展的同时，将数据保护作为一项不容忽视的重要战略来贯彻执行。针对暴力破解的防护措施通常采用一套规则，例如：访问者IP或设备指纹＋持续登录行为＋连续尝试登录次数＋登录失败次数，通过规则判断是否属于暴力破解行为。这是通常意义上中规中矩的安全防卫理念，也是被动式的。

在这个过程中，攻击者可以发起持续攻击；也可以通过使用代理、修改设备特征等方式规避防护规则，尝试对防护设备进行Bypass以达到反暴力破解的目的。

对此，盛邦安全新一代Web应用防护系统RayWAF通过动态令牌、限速以及动态令牌+限速三种防护方式，对暴力破解行为进行精准识别和动态防御，可防止绝大部分的Web暴力破解攻击行为，实现对企业网络的有效安全防护。

盛邦安全新一代Web应用防护系统（RayWAF）搭载了Web防护、全流量入侵防护、安全情报分析、机器自学习四大核心技术引擎，提供威胁情报智能聚合、入侵检测主动防御、机器学习自动建模、攻击溯源、IPv4/IPv6双栈协议防护、资产状态实时展示、爬虫防御算法升级七大防护能力，帮助用户构建Web应用安全核心防御能力，在5G等新技术带来的更为复杂的网络环境下，高效、智能地应对混合攻击等威胁。

相关链接：

混合攻击来了，WAF 进入多引擎时代 ——盛邦安全推出新一代Web应用防护系统，应对5G时代下的安全威胁