什么是暴力攻击？

暴力攻击是一种网络攻击，黑客通过反复尝试多个登录凭据或加密密钥，直到找到正确的密码，以便在不经授权的情况下访问帐户或加密数据。暴力攻击通常针对身份验证系统，例如网站登录页面、安全外壳 (SSH) 服务器或受密码保护的文件。
 

区别于利用软件漏洞的网络攻击，暴力破解攻击通过算力与自动化技术 猜测密码或密钥。 基础 暴力破解攻击 采用自动化脚本或 机器人每分钟测试数千 密码组合 ——如同窃贼尝试挂锁的所有 可能组合，直到它打开。

弱密码或简单的密码会降低攻击难度，而强密码将使此类攻击耗时过长或不可行。 然而更先进的暴力破解技术仍在不断发展。

为了说明当今网络威胁升级的速度和规模，请考虑 Microsoft 平均 每秒拦截 4000 次身份攻击。 然攻击者持续突破边界。专业 密码破解 设备每秒可尝试约  7.25 万亿次密码组合 。

而现在，随着量子计算的出现和后量子加密需求的诞生，暴力攻击不再受到当今硬件的限制。现代加密方法（用于身份验证，例如 RSA 加密）依赖于将大数分解为素数的计算难度。

以目前的计算能力，将超过 2048 位的任何数分解都需要数十亿年。然而，一台拥有大约 2,000 万量子比特的足够先进的量子计算机可以在几个小时内破解 2048 位 RSA 密钥。

暴力破解攻击 构成严重 网络安全 威胁，因其针对防御最薄弱环节：人为设置的密码及防护薄弱的账户。

成功的暴力破解攻击可立即导致未经授权的访问，使攻击者能够冒充用户、窃取敏感数据或进一步渗透网络。此外，与更复杂的黑客攻击不同，暴力攻击需要的技术技能相对较少，重点在于毅力和资源。

暴力攻击的主要风险之一是，单个被盗帐户可能会产生连带效应。例如，如果网络罪犯暴力破解了管理员的凭据，他们可以使用这些凭据入侵其他用户帐户。

即便普通 用户账户一旦遭入侵，可能泄露 个人身份信息 或成为获取更高权限的跳板。多数数据泄露与勒索软件事件始于攻击者暴力破解远程访问账户（如远程桌面协议 (RDP) 或 VPN 登录）。入侵后，攻击者可部署 恶意软件、勒索软件 或直接锁定系统。

暴力攻击也是一个网络安全问题，因为攻击尝试可能带来很大量的网络杂讯。大量的网络杂讯可能会使身份验证系统不堪重负，或者成为更无声的网络攻击的烟幕弹。

最近，研究人员观察到一次全球性的暴力攻击活动，该攻击利用了近 300 万个独特的 IP 地址来攻击 VPN 和防火墙，凸显出此类攻击可能达到的规模和分布式程度。

通常，大量失败的用户密码尝试会让防御者警惕，但攻击者有办法掩盖他们的活动。通过使用机器人或僵尸网络（被入侵计算机组成的网络），攻击者可以通过社交媒体帐户等各种来源降低攻击企图的显眼程度。这使得恶意登录尝试与正常用户行为混杂在一起。

除了自身的严重性外，重要的是要注意暴力攻击通常与其他计策同时进行。例如，攻击者可能使用网络钓鱼来获取一个帐户的凭据，然后暴力破解另一个帐户。或者他们可能会利用暴力攻击的结果（失窃密码）在其他地方进行网络钓鱼诈骗或欺诈。

要了解暴力攻击的原理，请考虑攻击者可能需要测试的密码数量。暴力攻击通过高速生成和确认凭据来进行。攻击者可能会从明显的猜测（例如“password”或“123456”）开始，然后系统地生成所有可能的字符组合，直到发现正确的密码。

现代攻击者利用强大的 计算能力（从多核 计算机处理单元  (CPU)  到 云计算 集群）来加速这一过程。

例如，仅使用小写字母的 6 个字符的密码有 26^6 个可能的密码。这大约有 3.08 亿种组合。使用今天的硬件，几乎可以立即进行穷举猜测，这意味着可以立即破解六个字母的弱密码。

相比之下，混合大小写、数字和特殊字符的较长密码会使可能性指数级增加，从而大大增加正确猜出密码所需的时间和努力。

密码并不是唯一面临风险的东西：暴力破解方法还可以通过穷举搜索所有可能的密钥（也称为“密钥空间”）来解密文件或发现加密密钥。这种攻击的可行性取决于密钥长度和算法强度。例如，128 位加密密钥具有天文数字般的可能性，使用现有的技术几乎不可能对其进行暴力破解。

实际上，暴力攻击的成功往往不是通过破解牢不可破的密码，而是通过利用人类因素：猜测常用密码、假设密码重复使用或针对没有锁定机制的系统。

暴力破解技术可应用于两种场景：在线攻击（对实时系统的实时尝试） 和 离线攻击 （使用被盗数据，例如哈希密码——由密码生成的、几乎无法逆向破解的短固定代码）。 

在线攻击中，黑客与目标系统（如网络应用程序登录或 SSH 服务）交互，并实时尝试密码。攻击速度受到网络延迟和防御机制的限制。

例如，速率限制限定了给定时间内的尝试次数，而 CAPTCHA 是区分人类和机器人的身份验证方法。攻击者通常会将其在线攻击分散到多个 IP 地址或使用僵尸网络来避免触发基于 IP 的封禁。

在离线攻击中，攻击者已经获得了加密数据或密码哈希值（例如，从数据泄露中获得），可以使用自己的机器在不惊动目标的情况下每秒尝试数百万或数十亿次的猜测。专门的密码破解工具（通常是开源的）的存在是为了辅助这些暴力破解战略。

例如，John the Ripper、Hashcat 和 Aircrack-ng 都是流行的自动暴力破解密码的工具。这些工具使用算法来管理大量的猜测，并使用图形处理单元 (GPU) 以惊人的速度对密码进行哈希化和比较。

暴力破解攻击 呈现多种形态，采用不同的策略来猜测或重复使用凭据，以获得 未经授权的访问。

此方法通过增量循环遍历允许字符的每个组合来尝试所有可能的密码。简单的暴力攻击（也称为穷举搜索）不使用任何有关密码的预设知识；它会系统地尝试输入“aaaa…”、“aaab…”到“zzzz…”等密码，包括数字或符号，具体取决于字符集。

 基础暴力破解攻击 若时间充足，最终会通过纯粹的 试错找到正确的凭据。然而，如果密码很长或很复杂，过程可能极其 耗时 。

字典攻击不是盲目地遍历每个可能的密码组合，而是尝试一个可能密码的精选列表（词语的“字典”）来加快猜测。

攻击者编制常用单词、短语和密码列表（如“admin”、“letmein”或“password123”）。由于许多用户选择简单或基于字典中常见的单词的弱密码，因此这种方法可以快速奏效。

混合攻击将字典攻击方法与简单的暴力破解方法相结合。攻击者从一系列可能的基词开始，然后围绕它们应用暴力修改。例如，可以尝试将单词“spring”写成“Spring2025！”，只需添加大写字母、数字或符号即可满足复杂性要求。

撞库是暴力攻击的一种特殊变体，攻击者使用从一次攻击中窃取的登录凭据（用户名和密码对）并在其他网站和服务上尝试。攻击者不是猜测新密码，而是将已知密码填充到多个登录表单中，押注许多人在不同的帐户中使用相同的凭据。

彩虹表攻击是一种离线密码破解技术，它通过使用预先计算好的哈希表，用存储空间换取计算时间。攻击者不是在运行中对猜测的密码进行哈希处理，而是使用“彩虹表”（一个包含许多可能密码的哈希值的巨大查找表）来快速将哈希值与其原始密码匹配。

在反向暴力攻击中，黑客颠覆了通常的攻击方法。他们不是针对一个用户尝试多个密码，而是针对许多不同的用户帐户尝试一个密码（或一小组密码）。

密码喷射是反向暴力技术的更隐蔽版本。攻击者针对多个帐户使用数个常用密码（如 "Summer2025!"）。这使他们能够瞄准多个用户，而不会在任何单个帐户上触发锁定保护。

组织可以实施多种安全措施来防止暴力破解。关键做法包括：

每个额外的屏障（无论是锁定规则还是加密）都可以帮助阻止暴力渗透。通过采用同时应对人员和技术因素的分层方法，组织可以更好地防范暴力攻击。