暴力攻擊解釋：如何所有的加密是脆弱的

暴力攻擊很容易理解，但很難防範。加密就是數學，隨著計算機在數學方面的速度越來越快，他們在嘗試所有的解決方案和確定哪一個適合方面也越來越快。...

暴力攻擊很容易理解，但很難防範。加密就是數學，隨著計算機在數學方面的速度越來越快，他們在嘗試所有的解決方案和確定哪一個適合方面也越來越快。

這些攻擊可以用來對付任何型別的加密，並取得不同程度的成功。隨著更新更快的計算機硬體的釋出，暴力攻擊變得越來越快，越來越有效。

暴力基礎知識

暴力攻擊很容易理解。攻擊者有一個加密檔案，比如說，你的LastPass或KeePass密碼資料庫。他們知道這個檔案包含他們想要檢視的資料，並且他們知道有一個加密金鑰可以解鎖它。要解密它，他們可以開始嘗試每一個可能的密碼，看看這是否會導致一個解密檔案。

他們用一個計算機程式自動完成這項工作，因此，隨著可用的計算機硬體變得越來越快，每秒能夠進行更多的計算，人們可以強行加密的速度也隨之提高。蠻力攻擊可能從一位密碼開始，然後移到兩位密碼，以此類推，嘗試所有可能的組合，直到一個有效。

“字典攻擊”與此類似，它會嘗試字典中的單詞（或常用密碼列表），而不是所有可能的密碼。這可能是非常有效的，因為許多人使用這樣的弱和常見的密碼。

為什麼攻擊者不能暴力攻擊web服務

線上暴力攻擊和離線暴力攻擊是有區別的。例如，如果攻擊者想強行闖入你的Gmail帳戶，他們可以開始嘗試每一個可能的密碼，但谷歌會很快切斷它們。提供訪問此類帳戶的服務將限制訪問嘗試，並禁止多次嘗試登入的IP地址。因此，對線上服務的攻擊不會起到很好的作用，因為在攻擊停止之前很少有人嘗試過。

例如，在幾次失敗的登入嘗試之後，Gmail會顯示一個CATPCHA影象來驗證你不是一臺自動嘗試密碼的計算機。如果你繼續登入足夠長的時間，他們可能會完全停止你的登入嘗試。

另一方面，假設攻擊者從您的計算機中截獲了一個加密檔案，或者設法破壞了一個線上服務並下載了這樣的加密檔案。攻擊者現在在自己的硬體上擁有加密資料，可以在空閒時嘗試任意多個密碼。如果他們能夠訪問加密的資料，就無法阻止他們在短時間內嘗試大量的密碼。即使您使用的是強加密，保護資料安全並確保其他人無法訪問也會對您有利。

雜湊

強大的雜湊演算法可以減緩暴力攻擊。本質上，雜湊演算法在將從密碼派生的值儲存到磁碟之前對密碼執行額外的數學運算。如果使用較慢的雜湊演算法，則需要數千倍的數學工作來嘗試每個密碼，並顯著降低暴力攻擊的速度。但是，所需的工作越多，每次使用者使用密碼登入時，伺服器或其他計算機所要做的工作就越多。軟體必須平衡抵禦暴力攻擊的彈性和資源使用。

蠻力速度

速度取決於硬體。情報機構可能只為暴力攻擊建立專門的硬體，就像比特幣礦工為比特幣開採建立自己的專門硬體一樣。說到消費類硬體，暴力攻擊最有效的硬體型別是圖形卡（GPU）。由於很容易同時嘗試許多不同的加密金鑰，因此許多並行執行的圖形卡是理想的。

2012年底，Ars Technica報告稱，一個25-GPU叢集可以在不到6小時內破解每個8個字元以下的Windows密碼。微軟使用的NTLM演算法彈性不夠。然而，當NTLM被建立時，嘗試所有這些密碼將花費更長的時間。對於微軟來說，這還不足以威脅到加密的強度。

速度在不斷提高，幾十年後我們可能會發現，即使是我們今天使用的最強大的加密演算法和加密金鑰，也可以被量子計算機或我們未來使用的任何其他硬體快速破解。

保護您的資料免受暴力攻擊

沒有辦法完全保護你自己。很難說計算機硬體的速度會有多快，我們現在使用的加密演算法是否有弱點，將來會被發現和利用。不過，以下是一些基本要素：

在攻擊者無法訪問的地方保護加密資料。一旦他們將您的資料複製到他們的硬體上，他們就可以在空閒時對其進行暴力攻擊。
如果您執行任何接受透過Internet登入的服務，請確保它限制登入嘗試並阻止嘗試在短時間內使用許多不同密碼登入的使用者。伺服器軟體通常是開箱即用的，因為這是一種很好的安全實踐。
使用強加密演算法，如SHA-512。確保您沒有使用已知易破解弱點的舊加密演算法。
使用長而安全的密碼。如果你使用的是“密碼”或曾經流行的“獵人2”，那麼世界上所有的加密技術都不會有幫助。

在保護資料、選擇加密演算法和選擇密碼時，暴力攻擊是需要關注的問題。它們也是不斷開發更強大的加密演算法的原因——加密必須跟上新硬體使其失效的速度。

圖片來源：約翰拉爾森在Flickr，傑里米戈斯尼