@南馆潇湘
2年前 提问
1个回答

什么是密码喷洒攻击

齐士忠
2年前

密码喷洒攻击针对许多不同的账户、服务和组织尝试使用一个或两个通用密码,以此避免在单个账户上被检测或锁定。攻击者使用这种方法避免超过设定的账户锁定阈值,许多组织经常设置为输错三到五次就锁住账户。只要在锁定阈值内输对密码,攻击者可以在整个组织成功尝试多个密码,不会被活动目录中的默认保护机制阻止。攻击者选择最终用户常用的密码和数学公式来猜测密码,或使用已在密码泄露网站上公布的泄露密码。

常见的防御方法有以下几种:

  • 使用验证码进行验证登录。

  • 使用Token生成form_hash,然后验证。

  • 使用随机数时,要确保用户无法获取随机数生成算法。

  • 身份验证需要用户凭短信、邮件接收验证码时,需要对验证次数进行限制。

  • 限制某时间段内验证次数。

  • 用户在设置密码时要求用户使用特殊字符和字母数字组合,并限制最小长度。