蛮力攻击 - 维基百科，自由的百科全书

蛮力攻击（英语：Brute-force attack）^[1]，又称为蛮攻^[1]、穷举攻击（英语：Exhaustive attack）或暴力破解，是一种密码分析的方法，主要透过软件逐一测试可能的密码，直到找出真正的密码为止^[2]。例如：一个已知是四位数，全部由阿拉伯数字组成的密码共有10,000个组合，因此最多尝试9,999次就能找到正确的密码。理论上除了具有完善保密性的密码以外，利用这种方法可以破解任何一种密码，技术成分在于如何缩短试误时间。有些人运用电脑来增加效率，有些人透过字典攻击来缩小密码组合的范围。^[3]

字符类型[编辑]

字符类型一般可以分为以下5种：

阿拉伯数字：0、1、2、...9等（10个）
大写字母：A、B、C、...Z等（26个）
小写字母：a、b、c、...z等（26个）
特殊字符：!、#、$、%、~等等（33个），一般较少使用。
用户自定义字符

如果一个多位数并且包含以上所有可能字符的密码，其组合方法一定多的惊人，且每增加一位数，密码组合数量会以数十倍指数成长（例如：包含数字及字母大小写，共62个字符的10位数的密码，共有 $62^{10}$ ，大约 $83.9\times 10^{16}$ 种组合），破译的时间也会更长，有时可能长达数十年（即便考虑电脑性能依摩尔定律会有所进步），甚至更久。

由于穷举法破解所消耗的时间不小于完成破解所需要的多项式时间，故从密码学角度考虑，不认为穷举法是有效的破解方法。可以通过为每个在线账户创建唯一密码来避免这些情况。

字典攻击[编辑]

破译一个相当长度并且包含各种可能字符的密码所耗费的时间相当长，其中一个解决办法就是运用字典。所谓“字典攻击”就是使用预先制作好的清单，例如：英文单字、生日的数字组合、以及各种常被使用的密码，等等，利用一般人习惯设置过短或过于简单的密码进行破译，很大程度上缩短破译时间。

超级计算机与穷举法[编辑]

为提高密码的破译效率，有些领域会专门为其制造超级计算机，例如：用于破解DES加密法的“深译”、IBM为纽约大学及美国军方制造的“WindsorGreen”。^[4]^[5]

防护手段[编辑]

最重要的手段是在构建系统时，将系统设计目标定为即便受到暴力破解的攻击也难以被攻破。以下列举了一些常用的防护手段：

增加密码的长度与复杂度。
在系统中限制密码尝试的次数。
密码验证时，将验证结果不是立即返回而是延时若干秒后返回。
限制允许发起请求的客户端的范围。
禁止密码输入频率过高的请求。
将密码设置为类似安全令牌那样每隔一定时间就发生变化的形式。
当同一来源的密码输入出错次数超过一定阈值，立即通过邮件或简讯等方式通知系统管理员。
人为监视系统，确认有无异常的密码试错。
使用两步骤认证，例如用户登录账号密码时，系统同时发送简讯到用户的手机，用户需输入简讯内的认证码。

参考文献[编辑]

^ ^1.0 ^1.1 brute-force attack - 蠻力攻擊；蠻攻. terms.naer.edu.tw. [2022-04-18]. （原始内容存档于2022-06-11）.
^ 9 types of password hacking attacks and how to avoid them. Gadgets Now. [2022-04-18]. （原始内容存档于2022-06-11）（英语）.
^ The scrypt key derivation function. [2014-02-13]. （原始内容存档于2017-12-15）.
^ BiddleMay 11 2017, Sam BiddleSam. NYU Accidentally Exposed Military Code-breaking Computer Project to Entire Internet. The Intercept. [2022-04-18]. （原始内容存档于2022-06-09）（英语）.
^ Military Encryption-Breaking Project from Department of Defense Found Unencrypted on Backup Server. Hot for Security. [2022-04-18]. （原始内容存档于2022-06-16）（英语）.

查论编分组密码

常见加密算法	AES Blowfish DES（内部细节 · 3DES） Serpent Twofish

次常见加密算法	Camellia CAST-128（英语：CAST-128） IDEA RC2（英语：RC2） RC5 SEED（英语：SEED） Skipjack（英语：Skipjack） TEA XTEA

其他加密算法	3-Way（英语：3-Way） ABC（英语：ABC (cipher)） Akelarre（英语：Akelarre (cipher)） Anubis（英语：Anubis (cipher)） ARIA（英语：ARIA (cipher)） BaseKing（英语：BaseKing） BassOmatic（英语：BassOmatic） BATON（英语：BATON） BEAR and LION（英语：BEAR and LION ciphers） CAST-256（英语：CAST-256） CIKS-1（英语：CIKS-1） CIPHERUNICORN-A（英语：CIPHERUNICORN-A） CIPHERUNICORN-E（英语：CIPHERUNICORN-E） CLEFIA（英语：CLEFIA） CMEA（英语：Cellular Message Encryption Algorithm） Cobra（英语：Cobra ciphers） COCONUT98（英语：COCONUT98） Crab（英语：Crab (cipher)） Cryptomeria/C2（英语：Cryptomeria cipher） CRYPTON（英语：CRYPTON (cipher)） CS-Cipher（英语：CS-Cipher） DEAL（英语：DEAL） DES-X（英语：DES-X） DFC（英语：DFC (cipher)） E2（英语：E2 (cipher)） FEAL（英语：FEAL） FEA-M（英语：FEA-M） FROG（英语：FROG） G-DES（英语：GDES） GOST（英语：GOST (block cipher)） Grand Cru（英语：Grand Cru (cipher)） Hasty Pudding cipher（英语：Hasty Pudding cipher） Hierocrypt（英语：Hierocrypt） ICE（英语：ICE (cipher)） IDEA NXT（英语：Idea NXT） Intel Cascade Cipher（英语：Intel Cascade Cipher） Iraqi（英语：Iraqi block cipher） KASUMI（英语：KASUMI (block cipher)） KeeLoq（英语：KeeLoq） KHAZAD（英语：KHAZAD） Khufu and Khafre（英语：Khufu and Khafre） KN-Cipher（英语：KN-Cipher） Ladder-DES（英语：Ladder-DES） Libelle（英语：Libelle (cipher)） LOKI97（英语：LOKI97） LOKI89/91（英语：LOKI） Lucifer（英语：Lucifer (cipher)） M6（英语：M6 (cipher)） M8（英语：M8 (cipher)） MacGuffin（英语：MacGuffin (cipher)） Madryga（英语：Madryga） MAGENTA（英语：MAGENTA） MARS（英语：MARS (cipher)） Mercy（英语：Mercy (cipher)） MESH（英语：MESH (cipher)） MISTY1（英语：MISTY1） MMB（英语：MMB） MULTI2（英语：MULTI2） MultiSwap（英语：MultiSwap） New Data Seal（英语：New Data Seal） NewDES（英语：NewDES） Nimbus（英语：Nimbus (cipher)） NOEKEON（英语：NOEKEON） NUSH（英语：NUSH） Q（英语：Q (cipher)） RC6 REDOC（英语：REDOC） Red Pike（英语：Red Pike (cipher)） S-1（英语：S-1 block cipher） SAFER（英语：SAFER） SAVILLE（英语：SAVILLE） SC2000（英语：SC2000） SHACAL（英语：SHACAL） SHARK SM4 Speck Spectr-H64（英语：Spectr-H64） Square（英语：Square (cipher)） SXAL/MBAL（英语：SXAL/MBAL） Threefish（英语：Threefish） Treyfer（英语：Treyfer） UES（英语：UES (cipher)） Xenon（英语：Xenon (cipher)） xmx（英语：xmx） XXTEA Zodiac（英语：Zodiac (cipher)）

密码设计	Feistel网络密钥调度（英语：Key schedule）乘积密码 S盒 P盒代换-置换网络混淆与扩散雪崩效应密钥白化密钥长度块大小

攻击（密码分析）	穷举攻击/蛮力攻击（EFF DES破解机）中途相遇攻击（Biclique攻击（英语：Biclique attack） · 三子集中途相遇攻击（英语：Biclique attack））线性密码分析（英语：Linear cryptanalysis）（堆积引理（英语：Piling-up lemma））差分密码分析（不可能差分密码分析（英语：Impossible differential cryptanalysis））截断差分分析（英语：Truncated differential cryptanalysis）高阶差分分析（英语：Higher-order differential cryptanalysis）差分-线性攻击（英语：Differential-linear）区分攻击（英语：Distinguishing attack）（已知密钥区分攻击（英语：Known-key distinguishing attack））积分密码分析（英语：Integral cryptanalysis）回力镖攻击（英语：Boomerang attack）模n密码分析（英语：Mod n cryptanalysis）相关密钥攻击（英语：Related-key attack）滑动攻击（英语：Slide attack）回旋密码分析（英语：Rotational cryptanalysis）计时攻击（英语：Timing attack） XSL攻击（英语：XSL attack）插值攻击 Partitioning（英语：Partitioning cryptanalysis）戴维斯攻击（英语：Davies' attack）回弹攻击（英语：Rebound attack）弱密钥（英语：Weak key）肯德尔等级相关系数（英语：Kendall tau rank correlation coefficient）卡方检验时间、内存、数据取舍攻击（英语：Time/memory/data tradeoff attack）

密码标准	高级加密标准（AES）评选过程 CRYPTREC（英语：CRYPTREC） NESSIE（英语：NESSIE）

工作方式	初始向量工作模式填充

查论编电脑入侵

事件	2003年骤雨计划 2009年极光行动 2010年澳大利亚网络攻击（英语：February 2010 Australian cyberattacks） 2010年偿还行动（英语：Operation Payback） 2011年DigiNotar骇客入侵事件 2011年突尼斯行动（英语：Operation Tunisia） 2011年PSN个人资讯泄露事件 2011年反安全行动（英语：Operation AntiSec） 2012–2013年斯特拉特福公司电邮泄露事件 2012年领英骇客入侵事件（英语：2012 LinkedIn hack） 2013年南韩网络攻击（英语：2013 South Korea cyberattack） 2013年Snapchat骇客入侵事件 2014年Tovar行动（英语：Operation Tovar） 2014年日本文殊核电站电脑病毒事件 2014年名人照片泄露事件 2014年心脏出血漏洞 2014年破壳漏洞 2014年贵宾犬漏洞 2014年索尼影业骇客入侵事件 2015年FREAK漏洞 2015年美国联邦人事管理局资料外泄案伟易达集团孟加拉银行遭骇客入侵事件 Dyn网络攻击俄罗斯干预美国总统选举 WannaCry勒索病毒 2017年威斯敏斯特网络攻击（英语：2017 Westminster cyberattack） Petya勒索病毒 2017年乌克兰受网络攻击事件（英语：2017 cyberattacks on Ukraine） Equifax数据泄露德勤熔毁/幽灵漏洞美国中央情报局被指对中国大陆网络渗透攻击 Zoom轰炸 Twitter比特币骗局 2020年美国联邦政府数据泄露事件殖民管道网络攻击 Log4j2漏洞事件 2022年俄罗斯对乌克兰的网络攻击上海公安数据库泄露事件 2022年西北工业大学遭网络攻击事件 2023年美国五角大楼文件泄露事件

政府机构	美国网络司令部美国国家安全局特定入侵行动办公室美国互联网犯罪投诉中心（英语：Internet Crime Complaint Center）中华人民共和国国家计算机网络与信息安全管理中心中国人民解放军网络空间部队朝鲜网络部队（日语：北朝鮮サイバー軍）（朝鲜人民军第121局）叙利亚电子军（英语：Syrian Electronic Army）日本网络防卫队（日语：自衛隊サイバー防衛隊）国际打击网络威胁多边伙伴（英语：International Multilateral Partnership Against Cyber Threats）欧洲网络犯罪中心（英语：European Cybercrime Centre）中华民国数位发展部中华民国国防部资通电军指挥部乌克兰资讯科技军新加坡共和国数码部队

骇客组织	匿名者乌克兰战争期间的行动（英语：Anonymous and the 2022 Russian invasion of Ukraine）网络金雕（英语：CyberBerkut） Derp（英语：Derp (hacker group)） Goatse安全（英语：Goatse Security） Hacking Team 蜥蜴小队（英语：Lizard Squad） LulzRaft（英语：LulzRaft） LulzSec NullCrew（英语：NullCrew） RedHack（英语：RedHack） TeaMp0isoN（英语：TeaMp0isoN）地下纳粹（英语：UGNazi）混沌电脑俱乐部死牛崇拜红客韩国网络外交使节团 L0pht重工方程式隐形人安全集团 DarkSide APT 27 网络游击队

个人	陈盈豪约翰·德雷珀（英语：John Draper）凯文·米特尼克下村努罗伯特·泰潘·莫里斯凯文·波尔森阿德里安·拉莫 Donncha O'Cearbhaill（英语：Donncha O'Cearbhaill）杰里米·哈蒙德（英语：Jeremy Hammond）乔治·霍兹古驰法（英语：Guccifer）阿尔伯特·冈萨雷斯（英语：Albert Gonzalez）赫克特·蒙赛格 (萨布)（英语：Hector Monsegur）杰克·戴维斯 (绿色雕塑)（英语：Topiary (hacktivist)）小丑 (The Jester)（英语：The Jester） weev（英语：weev）加里·麦金农（英语：Gary McKinnon）

恶意软件	Careto (面具)（英语：Careto (malware)） CryptoLocker Dexter（英语：Dexter (malware)）毒区（英语：Duqu） FinFisher（英语：FinFisher）火焰 Gameover ZeuS（英语：Gameover ZeuS） Mahdi（英语：Mahdi (malware)） Metulji僵尸网络（英语：Metulji botnet） NSA ANT产品目录（英语：NSA ANT catalog） R2D2（英语：R2D2 (trojan)） Shamoon（英语：Shamoon） Stars（英语：Stars virus）震网黑暗幽灵 (DCM) 震荡波蠕虫手机恶意软件（英语：Mobile malware） TeslaCrypt VPNFilter WannaCry Petya 瑞晶 peacenotwar（英语：peacenotwar）

概念·思想	《骇客宣言》网络战网络恐怖主义骇客行动主义骇客电脑犯罪软件破解（逆向工程）

手段·技术	安全漏洞漏洞利用高级长期威胁（APT）零日攻击 DNS污染缓冲区溢出堆风水（英语：Heap feng shui）堆喷射（英语：Heap spraying）穷举攻击/蛮力攻击跨站脚本攻击（XSS）水坑攻击偷渡式下载 SQL注入中间人攻击中途相遇攻击谷歌骇侵法