蠻力攻擊 - 維基百科，自由的百科全書

蠻力攻擊（英語：Brute-force attack）^[1]，又稱為蠻攻^[1]、窮舉攻擊（英語：Exhaustive attack）或暴力破解，是一種密碼分析的方法，主要透過軟體逐一測試可能的密碼，直到找出真正的密碼為止^[2]。例如：一個已知是四位數，全部由阿拉伯數字組成的密碼共有10,000個組合，因此最多嘗試9,999次就能找到正確的密碼。理論上除了具有完善保密性的密碼以外，利用這種方法可以破解任何一種密碼，技術成分在於如何縮短試誤時間。有些人運用電腦來增加效率，有些人透過字典攻擊來縮小密碼組合的範圍。^[3]

字元類型[編輯]

字元類型一般可以分為以下5種：

阿拉伯數字：0、1、2、...9等（10個）
大寫字母：A、B、C、...Z等（26個）
小寫字母：a、b、c、...z等（26個）
特殊字元：!、#、$、%、~等等（33個），一般較少使用。
使用者自訂字元

如果一個多位數並且包含以上所有可能字元的密碼，其組合方法一定多的驚人，且每增加一位數，密碼組合數量會以數十倍指數成長（例如：包含數字及字母大小寫，共62個字元的10位數的密碼，共有 $62^{10}$ ，大約 $83.9\times 10^{16}$ 種組合），破譯的時間也會更長，有時可能長達數十年（即便考慮電腦效能依摩爾定律會有所進步），甚至更久。

由於窮舉法破解所消耗的時間不小於完成破解所需要的多項式時間，故從密碼學角度考慮，不認為窮舉法是有效的破解方法。可以通過為每個在線帳戶建立唯一密碼來避免這些情況。

字典攻擊[編輯]

破譯一個相當長度並且包含各種可能字元的密碼所耗費的時間相當長，其中一個解決辦法就是運用字典。所謂「字典攻擊」就是使用預先製作好的清單，例如：英文單字、生日的數字組合、以及各種常被使用的密碼，等等，利用一般人習慣設定過短或過於簡單的密碼進行破譯，很大程度上縮短破譯時間。

超級電腦與窮舉法[編輯]

為提高密碼的破譯效率，有些領域會專門為其製造超級電腦，例如：用於破解DES加密法的「深譯」、IBM為紐約大學及美國軍方製造的「WindsorGreen」。^[4]^[5]

防護手段[編輯]

最重要的手段是在構建系統時，將系統設計目標定為即便受到暴力破解的攻擊也難以被攻破。以下列舉了一些常用的防護手段：

增加密碼的長度與複雜度。
在系統中限制密碼嘗試的次數。
密碼驗證時，將驗證結果不是立即返回而是延時若干秒後返回。
限制允許發起請求的客戶端的範圍。
禁止密碼輸入頻率過高的請求。
將密碼設定為類似安全權杖那樣每隔一定時間就發生變化的形式。
當同一來源的密碼輸入出錯次數超過一定閾值，立即通過郵件或簡訊等方式通知系統管理員。
人為監視系統，確認有無異常的密碼試錯。
使用兩步驟認證，例如使用者登入帳號密碼時，系統同時傳送簡訊到使用者的手機，使用者需輸入簡訊內的認證碼。

參考文獻[編輯]

^ ^1.0 ^1.1 brute-force attack - 蠻力攻擊；蠻攻. terms.naer.edu.tw. [2022-04-18]. （原始內容存檔於2022-06-11）.
^ 9 types of password hacking attacks and how to avoid them. Gadgets Now. [2022-04-18]. （原始內容存檔於2022-06-11）（英語）.
^ The scrypt key derivation function. [2014-02-13]. （原始內容存檔於2017-12-15）.
^ BiddleMay 11 2017, Sam BiddleSam. NYU Accidentally Exposed Military Code-breaking Computer Project to Entire Internet. The Intercept. [2022-04-18]. （原始內容存檔於2022-06-09）（英語）.
^ Military Encryption-Breaking Project from Department of Defense Found Unencrypted on Backup Server. Hot for Security. [2022-04-18]. （原始內容存檔於2022-06-16）（英語）.

閱論編區塊加密法

常見加密演算法	AES Blowfish DES（內部細節 · 3DES） Serpent Twofish

次常見加密演算法	Camellia CAST-128（英語：CAST-128） IDEA RC2（英語：RC2） RC5 SEED（英語：SEED） Skipjack（英語：Skipjack） TEA XTEA

其他加密演算法	3-Way（英語：3-Way） ABC（英語：ABC (cipher)） Akelarre（英語：Akelarre (cipher)） Anubis（英語：Anubis (cipher)） ARIA（英語：ARIA (cipher)） BaseKing（英語：BaseKing） BassOmatic（英語：BassOmatic） BATON（英語：BATON） BEAR and LION（英語：BEAR and LION ciphers） CAST-256（英語：CAST-256） CIKS-1（英語：CIKS-1） CIPHERUNICORN-A（英語：CIPHERUNICORN-A） CIPHERUNICORN-E（英語：CIPHERUNICORN-E） CLEFIA（英語：CLEFIA） CMEA（英語：Cellular Message Encryption Algorithm） Cobra（英語：Cobra ciphers） COCONUT98（英語：COCONUT98） Crab（英語：Crab (cipher)） Cryptomeria/C2（英語：Cryptomeria cipher） CRYPTON（英語：CRYPTON (cipher)） CS-Cipher（英語：CS-Cipher） DEAL（英語：DEAL） DES-X（英語：DES-X） DFC（英語：DFC (cipher)） E2（英語：E2 (cipher)） FEAL（英語：FEAL） FEA-M（英語：FEA-M） FROG（英語：FROG） G-DES（英語：GDES） GOST（英語：GOST (block cipher)） Grand Cru（英語：Grand Cru (cipher)） Hasty Pudding cipher（英語：Hasty Pudding cipher） Hierocrypt（英語：Hierocrypt） ICE（英語：ICE (cipher)） IDEA NXT（英語：Idea NXT） Intel Cascade Cipher（英語：Intel Cascade Cipher） Iraqi（英語：Iraqi block cipher） KASUMI（英語：KASUMI (block cipher)） KeeLoq（英語：KeeLoq） KHAZAD（英語：KHAZAD） Khufu and Khafre（英語：Khufu and Khafre） KN-Cipher（英語：KN-Cipher） Ladder-DES（英語：Ladder-DES） Libelle（英語：Libelle (cipher)） LOKI97（英語：LOKI97） LOKI89/91（英語：LOKI） Lucifer（英語：Lucifer (cipher)） M6（英語：M6 (cipher)） M8（英語：M8 (cipher)） MacGuffin（英語：MacGuffin (cipher)） Madryga（英語：Madryga） MAGENTA（英語：MAGENTA） MARS（英語：MARS (cipher)） Mercy（英語：Mercy (cipher)） MESH（英語：MESH (cipher)） MISTY1（英語：MISTY1） MMB（英語：MMB） MULTI2（英語：MULTI2） MultiSwap（英語：MultiSwap） New Data Seal（英語：New Data Seal） NewDES（英語：NewDES） Nimbus（英語：Nimbus (cipher)） NOEKEON（英語：NOEKEON） NUSH（英語：NUSH） Q（英語：Q (cipher)） RC6 REDOC（英語：REDOC） Red Pike（英語：Red Pike (cipher)） S-1（英語：S-1 block cipher） SAFER（英語：SAFER） SAVILLE（英語：SAVILLE） SC2000（英語：SC2000） SHACAL（英語：SHACAL） SHARK SM4 Speck Spectr-H64（英語：Spectr-H64） Square（英語：Square (cipher)） SXAL/MBAL（英語：SXAL/MBAL） Threefish（英語：Threefish） Treyfer（英語：Treyfer） UES（英語：UES (cipher)） Xenon（英語：Xenon (cipher)） xmx（英語：xmx） XXTEA Zodiac（英語：Zodiac (cipher)）

密碼設計	Feistel網路金鑰排程（英語：Key schedule）乘積密碼 S盒 P盒代換-置換網路混淆與擴散雪崩效應金鑰白化金鑰長度塊大小

攻擊（密碼分析）	窮舉攻擊/蠻力攻擊（EFF DES破解機）中途相遇攻擊（Biclique攻擊（英語：Biclique attack） · 三子集中途相遇攻擊（英語：Biclique attack））線性密碼分析（英語：Linear cryptanalysis）（堆積引理（英語：Piling-up lemma））差分密碼分析（不可能差分密碼分析（英語：Impossible differential cryptanalysis））截斷差分分析（英語：Truncated differential cryptanalysis）高階差分分析（英語：Higher-order differential cryptanalysis）差分-線性攻擊（英語：Differential-linear）區分攻擊（英語：Distinguishing attack）（已知金鑰區分攻擊（英語：Known-key distinguishing attack））積分密碼分析（英語：Integral cryptanalysis）回力鏢攻擊（英語：Boomerang attack）模n密碼分析（英語：Mod n cryptanalysis）相關金鑰攻擊（英語：Related-key attack）滑動攻擊（英語：Slide attack）迴旋密碼分析（英語：Rotational cryptanalysis）計時攻擊（英語：Timing attack） XSL攻擊（英語：XSL attack）插值攻擊 Partitioning（英語：Partitioning cryptanalysis）戴維斯攻擊（英語：Davies' attack）回彈攻擊（英語：Rebound attack）弱金鑰（英語：Weak key）肯德爾等級相關係數（英語：Kendall tau rank correlation coefficient）卡方檢驗時間、記憶體、資料取捨攻擊（英語：Time/memory/data tradeoff attack）

密碼標準	進階加密標準（AES）評選過程 CRYPTREC（英語：CRYPTREC） NESSIE（英語：NESSIE）

工作方式	初始向量工作模式填充

閱論編電腦入侵

事件	2003年驟雨計劃 2009年極光行動 2010年澳大利亞網路攻擊（英語：February 2010 Australian cyberattacks） 2010年償還行動（英語：Operation Payback） 2011年DigiNotar駭客入侵事件 2011年突尼斯行動（英語：Operation Tunisia） 2011年PSN個人資訊洩露事件 2011年反安全行動（英語：Operation AntiSec） 2012–2013年斯特拉特福公司電子郵件洩露事件 2012年領英駭客入侵事件（英語：2012 LinkedIn hack） 2013年南韓網路攻擊（英語：2013 South Korea cyberattack） 2013年Snapchat駭客入侵事件 2014年Tovar行動（英語：Operation Tovar） 2014年日本文殊核電站電腦病毒事件 2014年名人相片洩露事件 2014年心臟出血漏洞 2014年破殼漏洞 2014年貴賓犬漏洞 2014年索尼影業駭客入侵事件 2015年FREAK漏洞 2015年美國聯邦人事管理局資料外洩案偉易達集團孟加拉銀行遭駭客入侵事件 Dyn網路攻擊俄羅斯干預美國總統選舉 WannaCry勒索病毒 2017年威斯敏斯特網路攻擊（英語：2017 Westminster cyberattack） Petya勒索病毒 2017年烏克蘭受網路攻擊事件（英語：2017 cyberattacks on Ukraine） Equifax資料洩露德勤熔毀/幽靈漏洞美國中央情報局被指對中國大陸網路滲透攻擊 Zoom轟炸 Twitter比特幣騙局 2020年美國聯邦政府資料洩露事件殖民管道網路攻擊 Log4j2漏洞事件 2022年俄羅斯對烏克蘭的網路攻擊上海公安資料庫洩露事件 2022年西北工業大學遭網路攻擊事件 2023年美國五角大樓檔案洩露事件

政府機構	美國網戰司令部美國國家安全局特定入侵行動辦公室美國網際網路犯罪投訴中心（英語：Internet Crime Complaint Center）中華人民共和國國家計算機網絡與信息安全管理中心中國人民解放軍網絡空間部隊朝鮮網路部隊（日語：北朝鮮サイバー軍）（朝鮮人民軍第121局）敘利亞電子軍（英語：Syrian Electronic Army）日本網路防衛隊（日語：自衛隊サイバー防衛隊）國際打擊網路威脅多邊夥伴（英語：International Multilateral Partnership Against Cyber Threats）歐洲網路犯罪中心（英語：European Cybercrime Centre）中華民國數位發展部中華民國國防部資通電軍指揮部烏克蘭資訊科技軍新加坡共和國數位部隊

駭客組織	匿名者烏克蘭戰爭期間的行動（英語：Anonymous and the 2022 Russian invasion of Ukraine）網路金雕（英語：CyberBerkut） Derp（英語：Derp (hacker group)） Goatse安全（英語：Goatse Security） Hacking Team 蜥蜴小隊（英語：Lizard Squad） LulzRaft（英語：LulzRaft） LulzSec NullCrew（英語：NullCrew） RedHack（英語：RedHack） TeaMp0isoN（英語：TeaMp0isoN）地下納粹（英語：UGNazi）混沌電腦俱樂部死牛崇拜紅客韓國網路外交使節團 L0pht重工方程式隱形人安全集團 DarkSide APT 27 網路游擊隊

個人	陳盈豪約翰·德雷珀（英語：John Draper）凱文·米特尼克下村努羅伯特·泰潘·莫里斯凱文·鮑爾森阿德里安·拉莫 Donncha O'Cearbhaill（英語：Donncha O'Cearbhaill）傑里米·哈蒙德（英語：Jeremy Hammond）喬治·霍茲古馳法（英語：Guccifer）阿爾伯特·岡薩雷斯（英語：Albert Gonzalez）赫克特·蒙賽格 (薩布)（英語：Hector Monsegur）傑克·戴維斯 (綠色雕塑)（英語：Topiary (hacktivist)）小丑 (The Jester)（英語：The Jester） weev（英語：weev）加里·麥金農（英語：Gary McKinnon）

惡意軟體	Careto (面具)（英語：Careto (malware)） CryptoLocker Dexter（英語：Dexter (malware)）毒區（英語：Duqu） FinFisher（英語：FinFisher）火焰 Gameover ZeuS（英語：Gameover ZeuS） Mahdi（英語：Mahdi (malware)） Metulji殭屍網路（英語：Metulji botnet） NSA ANT產品目錄（英語：NSA ANT catalog） R2D2（英語：R2D2 (trojan)） Shamoon（英語：Shamoon） Stars（英語：Stars virus）震網黑暗幽靈 (DCM) 震盪波蠕蟲手機惡意軟體（英語：Mobile malware） TeslaCrypt VPNFilter WannaCry Petya 瑞晶 peacenotwar（英語：peacenotwar）

概念·思想	《駭客宣言》網路戰網路恐怖主義駭客行動主義駭客電腦犯罪軟體破解（逆向工程）

手段·技術	安全漏洞漏洞利用進階長期威脅（APT）零日攻擊 DNS污染緩衝區溢位堆風水（英語：Heap feng shui）堆噴射（英語：Heap spraying）窮舉攻擊/蠻力攻擊跨站指令碼攻擊（XSS）水坑攻擊偷渡式下載 SQL注入中間人攻擊中途相遇攻擊谷歌駭侵法