@南馆潇湘
2年前 提问
1个回答
什么是密码喷洒攻击
齐士忠
2年前
密码喷洒攻击针对许多不同的账户、服务和组织尝试使用一个或两个通用密码,以此避免在单个账户上被检测或锁定。攻击者使用这种方法避免超过设定的账户锁定阈值,许多组织经常设置为输错三到五次就锁住账户。只要在锁定阈值内输对密码,攻击者可以在整个组织成功尝试多个密码,不会被活动目录中的默认保护机制阻止。攻击者选择最终用户常用的密码和数学公式来猜测密码,或使用已在密码泄露网站上公布的泄露密码。
常见的防御方法有以下几种:
使用验证码进行验证登录。
使用Token生成form_hash,然后验证。
使用随机数时,要确保用户无法获取随机数生成算法。
身份验证需要用户凭短信、邮件接收验证码时,需要对验证次数进行限制。
限制某时间段内验证次数。
用户在设置密码时要求用户使用特殊字符和字母数字组合,并限制最小长度。