什么是暴力破解？

暴力破解也可称为穷举法、枚举法，是一种针对于密码的破译方法，将密码进行逐个推算直到找出真正的密码为止。设置长而复杂的密码、在不同的地方使用不同的密码、避免使用个人信息作为密码、定期修改密码等是防御暴力破解的有效方法。

比如一个6位并且全部由数字组成的密码，可能有100万种组合，也就是说最多需要尝试100万次才能找到正确的密码，但也有可能尝试几次后就能找出正确的密码。从理论上来说，只要字典足够庞大，枚举总是能够成功的，也就是说任何密码都能被破解，只是时间的问题；为了加快破解的效率，“有心人”会利用计算机来缩短破解的时间。

防御暴力破解攻击的方法：

• 人的层面：增强密码安全性

  • 提升密码长度和复杂度

  • 在不同的地方使用不同的密码

  • 避免使用字典单词、数字组合、相邻键盘组合、重复的字符串

  • 避免使用名字或者非机密的个人信息（电话号码、出生日期等）作为密码，或者是亲人、孩子、宠物的名字

  • 定期修改密码

• 系统层面：做好密码防暴力破解设计

  • 锁定策略：输错密码几次就锁定一段时间

  • 验证码技术：要求用户完成简单的任务才能登录到系统

  • 密码复杂度限制：强制用户设置长而复杂的密码，并强制定期更改密码

  • 双因子认证：结合两种不同的认证因素对用户进行认证