什么是暴力破解?
暴力破解也可称为穷举法、枚举法,是一种比较流行的密码破译方法,也就是将密码进行一一推算直到找出正确的密码为止。比如一个6位并且全部由数字组成的密码,可能有100万种组合,也就是说最多需要尝试100万次才能找到正确的密码,但也有可能尝试几次后就能找出正确的密码。从理论上来说,只要字典足够庞大,枚举总是能够成功的,也就是说任何密码都能被破解,只是时间的问题;为了加快破解的效率,“有心人”会利用计算机来缩短破解的时间。
如何防止暴力破解?
对于个人来说,防止暴力破解的方法可以将密码设置到更高级别,也就是将密码的复杂程度提高,比如:增加密码位数并且设置时采取大小写字母、特殊符号、数字等多种无规律混合的方式组合而成。密码设置规律应当规避一些特定的规则、使用习惯等容易生成字典的规则来保证密码的安全性,比如有些人喜欢用身边的事、物、特定的字符串等去组合密码,比较常见就是使用键盘的排序进行组合密码,这种密码是比较容易通过生成字典库进行暴力破解匹配出来的。
除此之外,还需要提高个人的安全意识,定期修改密码,保证账号的安全性;同时可对个人身份进行二次验证,比如手机短信确认、指纹认证、手势验证等,这样在很大程度上都能减少甚至能终止暴力破解。
对于企业来说,密码信息泄漏无疑是一场灾难;越来越多的企业在不断谋求发展的同时,将数据保护作为一项不容忽视的重要战略来贯彻执行。针对暴力破解的防护措施通常采用一套规则,例如:访问者IP或设备指纹+持续登录行为+连续尝试登录次数+登录失败次数,通过规则判断是否属于暴力破解行为。这是通常意义上中规中矩的安全防卫理念,也是被动式的。
在这个过程中,攻击者可以发起持续攻击;也可以通过使用代理、修改设备特征等方式规避防护规则,尝试对防护设备进行Bypass以达到反暴力破解的目的。
对此,盛邦安全新一代Web应用防护系统RayWAF通过动态令牌、限速以及动态令牌+限速三种防护方式,对暴力破解行为进行精准识别和动态防御,可防止绝大部分的Web暴力破解攻击行为,实现对企业网络的有效安全防护。
盛邦安全新一代Web应用防护系统(RayWAF)搭载了Web防护、全流量入侵防护、安全情报分析、机器自学习四大核心技术引擎,提供威胁情报智能聚合、入侵检测主动防御、机器学习自动建模、攻击溯源、IPv4/IPv6双栈协议防护、资产状态实时展示、爬虫防御算法升级七大防护能力,帮助用户构建Web应用安全核心防御能力,在5G等新技术带来的更为复杂的网络环境下,高效、智能地应对混合攻击等威胁。
相关链接: