暴力攻擊
主頁 > 
暴力攻擊
< 返回

暴力攻擊

何謂暴力攻擊

暴力攻擊是通過試誤法以破解憑證,反覆試驗所有可能的組合,直至猜到正確密碼。由於攻擊者需要測試的組合數量取決於密碼的長度和複雜性,因此攻擊者通常會使用自動化工具和程式進行攻擊。暴力攻擊現時主要由殭屍裝置進行。

成功破解密碼後,攻擊者可以進入系統並進行其他惡意活動,例如消耗系統資源;收集個人和敏感資料以作販售之用;偽裝成合法用戶並發起仿冒詐騙攻擊;傳播惡意軟件以感染更多系統等。

暴力攻擊的類型
簡易暴力攻擊
簡易暴力攻擊是指猜測所有可能的密碼。這種攻擊方法對弱密碼如「123456」、「111111」、「abcdef」等有效。一些常見而且較弱的密碼會定期發布 ,此類密碼很容易被暴力攻擊破解。
字典攻擊
字典攻擊試圖通過使用字典中的單字和辭彙的組合來猜測密碼。由於字典中的單詞組合量很大,手動發起字典攻擊並不可行。攻擊者通常會使用工具來加快過程。目前一些工具已有「l」和「1」、「O」和「0」、「a」和「@」等互換類似字符的功能,提高了破解密碼的成功率。
混合暴力攻擊
混合暴力攻擊結合了簡易暴力攻擊和字典攻擊。攻擊者可基於字典中的單字或辭彙,增加類似簡易暴力攻擊的模式,以加強破解能力。一個常見的組合是添加數字,用戶一般傾向在密碼最後添加數字,這些數字通常是有意義的,例如出生日期、出生年份或週年紀念日,即「password1990」或「picture0531」。攻擊者還可以通過添加一些流行事物的字詞來增強其字典的辭彙,這些字詞可隨時間或地區而有所不同,例如城市、運動團隊、偶像等。
逆向暴力攻擊
逆向暴力攻擊是利用已知的密碼,配以不同的用戶名稱以嘗試破解。已知的密碼一般是用戶常用的密碼或因數據泄漏而外泄的密碼。
憑證填充
攻擊者會使用因數據泄漏而取得的用戶名稱及密碼組合,嘗試登入其他系統。憑證填充是針對在多項系統和服務中重複使用相同用戶名稱和密碼的用戶。
暴力攻擊的潛在影響

暴力攻擊通常只是攻擊者未獲授權接達目標系統的第一步,攻擊者可以進行其他後續的惡意行動,以下是一些可能會對受害者造成的影響:

攻擊者可以將從暴力攻擊中收集到的登錄憑證及/或個人和敏感資料轉售予第三方;
攻擊者可以操縱已入侵的帳戶來傳播惡意軟件濫發郵件仿冒詐騙連結;
攻擊者可以耗盡系統的資源以達到惡意目的,例如加密貨幣挖礦;
如果特權帳戶破解盜用,可能會導致網頁竄改、服務受阻斷、資料泄漏等,從而令機構蒙受財政損失,甚至聲譽受損;以及
暴力攻擊也可以是發現系統漏洞的一種方法,攻擊者可以進一步滲透系統並導致數據外泄。
如何識別暴力攻擊

對用戶而言:

如果服務供應商經電子郵件或短訊通知你,偵測到有人嘗試登入你的帳戶,但你無法識別該次登入的位置或時間,這可能表示有人正試圖對你的帳戶進行暴力攻擊,你應立即更改你的登入憑證,或如有多重認證服務時,應啟用服務。


對系統管理員而言:

為了及時收到有關暴力攻擊的通知,應監察系統有否以下情況,因為可能是警報信號:


短時間內多次登入失敗;
來自同一 IP 地址,但使用不同用戶名稱的登入嘗試;
來自不同 IP 地址,但使用同一用戶名稱的登入嘗試;和
使用字母或數字順序模式嘗試登入但不成功。
如何防範暴力攻擊

對用戶而言:

使用強密碼
一個簡單但有效防範暴力攻擊的方法是設定強密碼,密碼越長越複雜就越強,一個由大小楷字母、數字和符號組合所組成的長密碼會增加暴力攻擊的難度。此外,密碼應避免使用字典單字,亦不應包含出生日期、出生地點和姓名等個人資料。
不要重複使用密碼
為不同的服務設定不同的密碼是一項良好守則。萬一你的密碼不幸外泄,至少你的其他帳戶可免受憑證填充攻擊。
採用多重認證
多重認證可為你的帳戶提供額外防護。除密碼外,常用的認證方法包括一次性密碼、權標和生物識別(如指紋或人臉識別)。即使攻擊者成功以暴力破解了你的密碼,攻擊者仍然無法通過其他身份驗證方法進入系統。

對系統管理員而言:

允許有限的密碼嘗試
當登入失敗達到一定次數後,應鎖定帳戶以防止無限次的嘗試。系統管理員應與用戶進行適當的身份驗證,然後方可為帳戶解鎖。如果在某些系統中鎖定帳戶並不可行,則應考慮並採取緩解措施,例如在多次登入失敗後引入鎖定計時器,至少可以延遲暴力攻擊。
使用驗證碼
驗證碼的原理是要求用戶登入時進行只有人類才能進行的操作,例如識別扭曲的字母和數字、識別圖像中的物件、剔選複選框等。在登入系統中嵌入驗證碼可以區分人類用戶和自動機械人,從而消除使用殭屍裝置發起暴力攻擊的問題。
限制從指定範圍的 IP 地址登入
僅限指定範圍內的 IP 地址登入系統,可以防止不需要的 IP 地址進入系統。
分配獨有的登入 URL
為每個或每組用戶提供不同的登入 URL,可以延遲暴力攻擊的速度,從而增加攻擊者的成本。
在伺服器上儲存加鹽密碼雜湊
加鹽雜湊是指對密碼進行雜湊之前,在輸入的密碼中添加隨機字符。當用戶使用一些常用或相同的密碼時,雜湊結果亦會有所不同,即使你的數據庫意外地被入侵,用戶的密碼亦不會即時外泄。
查看系統記錄
查看伺服器記錄以監察任何異常登入嘗試十分重要,有助及早發現暴力攻擊活動。
及時刪除 / 撤銷用戶帳戶
應按照最小權限原則授予帳戶權限。當用戶的職責有變更或終止時,應調整存取權限或撤銷帳戶。無人管理的帳戶和存取權限配置錯誤的帳戶是系統中的漏洞,會導致資料外泄。
對用戶帳戶定期進行審查
定期審查用戶帳戶列表有助識別不受管理帳戶,尤其是高權限帳戶,這些帳戶是系統中的漏洞。
加強員工意識培訓
人是網絡安全中最薄弱的一環,因此讓員工了解暴力攻擊的風險和設置強密碼的重要性至關重要。機構亦可考慮制定安全政策,並為員工提供適當的指引。
延伸閱讀
香港網絡安全事故協調中心 - 個人網絡服務帳號管理保安指引
The Open Web Application Security Project - Brute Force Attack(只提供英文版)
The Open Web Application Security Project - Blocking Brute Force Attacks(只提供英文版)

免責聲明:用戶亦應留意網絡安全資訊站中的免責聲明。在下載及使用保安軟件或工具前,請細閱相關的用戶協議和私隱政策。