什么是暴力攻击？

暴力攻击是一种网络攻击，它通过反复试错来猜测登录凭据、安全密钥或其他敏感信息。暴力攻击的效果出人意料，尤其是考虑到大约 65% 的人会重复使用密码。重复使用密码是一种危险且常见的做法，而一个泄露的密码就足以暴露整个系统或一组凭据。

暴力攻击不仅针对个人，同样也会针对企业，因为不幸的是，即使是员工也会重复使用密码。一次成功的网络攻击造成的平均损失可达数百万美元，随着越来越多的企业采用永久在家工作的做法，暴力攻击变得越来越普遍。

暴力攻击的工作原理

暴力密码攻击的原理是通过使用软件“猜测”帐密。通过反复试验，暴力攻击可尝试常见的字典短语、常用的密码或特定的字母和数字组合，直到找到匹配项。

简单暴力攻击通过反复试验来尝试不同的组合，以猜测登录帐密。攻击者使用高性能电脑来尝试各种可能的字母、数字和符号组合。虽然这看起来效率低下，但有些电脑可以同时处理数万亿个组合。

字典攻击利用简单的字典单词或短语来破解用户凭据。建议不要使用在字典中找得到的单词或短语，因为字典暴力攻击可能会采用它们并破解密码。

软件使用外部逻辑来猜测哪些密码将最可能成功，然后通过暴力来应用每个组合。

此方法依赖于一些选定的常用密码。常见密码列表很容易在网上找到。这里有 10,000 个密码的列表。反向暴力攻击使用这样的列表将这些常见密码输入多个帐户，希望会有匹配。

撞库是最有效的暴力攻击方法之一。先前被破解的密码列表可以在黑暗网络上买到，网络犯罪分子用它们在数十个网站上“填充”帐密，看看是否有匹配项。通常，用户不会更改其所有帐户的密码，即使先前曾泄露过。

暴力攻击是一种特别危险的网络威胁，因为它们允许网络犯罪分子同时强行侵入多个帐户。撞库等方法可以同时攻击数千个帐户，从统计学上讲，至少会有一个帐户的帐密被攻破。

一旦帐密得到验证，网络犯罪分子就可以访问各种含有敏感信息的帐户，从社交媒体到银行帐户以及政府和商业帐户。

新冠疫情迫使成千上万的企业采用在家工作模式，直到另行通知。这是历史上最大的商业尝试之一。以前从未支持“在家工作”模式的企业面临着一个痛苦的两难境地：要么适应，要么灭亡。事实上，数以千计的企业确实灭亡了，而那些没有灭亡的则面临网络犯罪形式的新挑战。

从 2020 年 1 月至 12 月，全球暴力攻击从约 20 万次增加至 140 多万次。由于企业基本上在进行在家工作模式的试运行，这为网络犯罪分子利用不安全的远程桌面和糟糕的密码管理做法创造了绝佳的机会。

您可以使用复杂的自动化工具来防范暴力攻击。已有企业在使用这些工具应对暴力攻击和其他恶意软件威胁。威胁检测变得越来越复杂，企业越来越依赖 AI 技术来检测、防范和消除威胁，以免造成损失。

机器人保护可以帮助监控 Web 流量是否有可疑活动，并在怀疑受到攻击时将用户锁定在外。机器人还可以预测可疑活动，例如多次登录尝试，并在攻击完成前提醒受害者。

暴力攻击很简单，但往往很有效，尤其是当个人或企业没有适当的保护措施时。

当员工从公司离职时，必须完全移除其帐户以避免未经授权的登录。即使该员工的帐户已停用，它仍然是网络犯罪分子的潜在切入点。应尽快终止非活动帐户，并从系统中删除其帐密。

两步或多步验证可成为碰到暴力攻击时的救星。当从陌生或未记录的设备使用密码时，它会触发额外的身份验证步骤。这可能涉及短信或电子邮件验证链接、生物特征识别或其他方法。这就为每个帐户增加了一层额外的保护。

两步验证和多步验证工具通常会集成至密码管理平台和其他网络安全工具中。系统管理员应考虑要求系统上的每个帐户进行多步验证或两步验证，从而增加一层重要的安全保护。

暴力攻击依赖于多次登录尝试。当暴力攻击黑客只能进行有限次数的尝试时，其攻击力将受到限制。三次登录尝试是一个较好的起点。这足以让那些真正弄错登录信息的人有机会修改，也足以在潜在威胁猜到密码之前将其锁定在外。在三次尝试失败后，完全锁定帐户，并要求通过系统管理员在验证用户身份后恢复访问权限。

您还可以减慢登录尝试速度，要求在失败登录之间进行倒计时。结合登录限制，此方法可以在三次尝试后阻止暴力攻击，并限制网络犯罪分子输入信息的速度。这亦有助于向管理员发出可疑活动的信号。

通过确保您为所有帐户使用高强度的唯一密码，网络犯罪分子将更难猜测您的密码。务必始终使用包含字母、数字和符号的复杂密码。越复杂越好。

您可以使用密码生成器工具来帮助您为所有帐户生成高强度的唯一密码。