什麼是字典攻擊？

要對網站進行身份驗證，您需要提供用戶名和密碼。該站點然後通過將它們與存儲在其數據庫中的詳細信息進行比較來檢查您提供的身份驗證詳細信息。如果詳細信息匹配，則授予訪問權限。如果詳細信息不匹配，則拒絕訪問。

不幸的是，數據洩露是一種相對常見的情況。數據洩露可能是一個大問題，因為最常針對的數據之一是用戶數據，特別是用戶名和密碼列表。如果密碼只是按原樣以明文形式存儲，那麼任何有權訪問數據庫的人都可以訪問任何其他用戶的帳戶。就好像他們拿到了一個鑰匙圈，上面有公寓樓每扇門的鑰匙。

雖然首先要付出很多努力來防止數據洩露，但建議採用縱深防禦策略。具體來說，安全建議認為密碼應該被散列，只存儲密碼的散列。哈希函數是一種單向函數，總是將相同的輸入轉換為相同的輸出。然而，即使是輸入的微小變化也會產生完全不同的輸出。至關重要的是，沒有辦法反轉函數並將輸出的哈希值轉回原始輸入。但是，您可以對新輸入進行哈希處理，然後查看輸出是否與數據庫中存儲的哈希匹配。如果確實如此，您知道密碼匹配，卻不知道實際密碼。

有益的是，這也意味著如果攻擊者確實破壞了數據庫，他們不會獲得立即有用的密碼列表，而是獲得哈希值。為了能夠使用這些散列，他們需要被破解。

用智慧破解密碼哈希

破解密碼散列是計算散列所代表的原始密碼的過程。因為沒有辦法反轉哈希函數並將哈希值變成密碼。破解哈希的唯一方法是猜測密碼。一種方法是使用蠻力攻擊。這實際上涉及嘗試所有可能的密碼。這意味著從“a”開始，在兩種情況下嘗試每個字母，以及每個數字和符號。然後攻擊者需要嘗試所有的二字符組合、三字符組合等等。每次添加字符時，可能的字符組合都會呈指數增長。這使得即使在快速散列算法與強大的 GPU 破解裝置一起使用時也很難有效地猜測長密碼。

例如，通過查看站點的密碼要求並且不要嘗試太短而不允許或沒有數字的密碼，可以節省一些精力。這將節省一些時間，並且仍然適合嘗試所有允許的密碼的暴力攻擊類別。蠻力攻擊雖然速度緩慢，但如果保留足夠長的時間並具有大量處理能力，最終會破解任何密碼，因為將嘗試所有可能的組合。

暴力攻擊的問題在於它們不是很聰明。字典攻擊是一種更有針對性的變體。它不是僅僅嘗試任何可能的密碼，而是嘗試指定密碼的列表。此類攻擊的成功取決於密碼列表和相關字典。

做出有根據的猜測

密碼字典通常是根據以前因其他數據洩露而破解的密碼構建的。這些詞典可以包含數千或數百萬個條目。這建立在人們不擅長創建唯一密碼的概念之上。不幸的是，來自數據洩露的證據確實表明情況也是如此。人們仍然使用“密碼”一詞的變體。其他常見主題包括運動隊、寵物名稱、地名、公司名稱、討厭你的工作以及基於日期的密碼。當人們被迫定期更改密碼時，最後一個特別容易發生。

與暴力攻擊相比，使用密碼字典可以大大減少需要進行的猜測次數。密碼字典也往往包含短密碼和長密碼，這意味著可能會嘗試一些即使經過多年或暴力猜測也無法獲得的密碼。該方法也被證明是成功的。統計數據因數據洩露以及所用詞典的大小和質量而異，但成功率可超過 70%。

使用詞處理算法可以進一步提高成功率。這些算法獲取密碼字典中的每個單詞，然後對其進行一些修改。這些修改往往是標準字符替換和添加尾隨數字或符號。例如，人們通常將字母“e”替換為“3”，將“s”替換為“$”或在末尾添加感嘆號。Word mangling 算法為密碼字典中的每個條目創建副本。每個副本都有這些字符替換的不同變體。這顯著增加了猜測密碼的數量，也提高了成功率，在某些情況下超過 90%。

結論

字典攻擊是暴力攻擊的有針對性的變體。不是嘗試所有可能的字符組合，而是測試字符組合的子集。該子集是以前在過去的數據洩露中發現並在必要時破解的密碼列表。這大大減少了猜測的次數，同時覆蓋了以前使用過的密碼，在某些情況下，密碼是經常看到的。字典攻擊的成功率不如暴力攻擊。但是，這假設您有無限的時間和處理能力。字典攻擊往往比暴力攻擊更快地獲得相當高的成功率。這是因為它不會在極不可能的字符組合上浪費時間。

想出密碼時，您應該做的主要事情之一是確保它不會出現在單詞列表中。一種方法是設置一個複雜的密碼，另一種方法是設置一個長密碼。通常，最好的選擇是製作一個由幾個單詞組成的長密碼。重要的是，這些詞不會像可能被猜到的那樣構成實際的短語。他們應該完全無關。建議您選擇 10 個字符以上的密碼，最少 8 個字符。