2023年7月31日发(作者:)

安全⼩课堂⼁什么是暴⼒破解?如何防⽌暴⼒破解?什么是暴⼒破解?暴⼒破解也可称为穷举法、枚举法,是⼀种⽐较流⾏的密码破译⽅法,也就是将密码进⾏⼀⼀推算直到找出正确的密码为⽌。⽐如⼀个6位并且全部由数字组成的密码,可能有100万种组合,也就是说最多需要尝试100万次才能找到正确的密码,但也有可能尝试⼏次后就能找出正确的密码。从理论上来说,只要字典⾜够庞⼤,枚举总是能够成功的,也就是说任何密码都能被破解,只是时间的问题;为了加快破解的效率,“有⼼⼈”会利⽤计算机来缩短破解的时间。如何防⽌暴⼒破解?对于个⼈来说,防⽌暴⼒破解的⽅法可以将密码设置到更⾼级别,也就是将密码的复杂程度提⾼,⽐如:增加密码位数并且设置时采取⼤⼩写字母、特殊符号、数字等多种⽆规律混合的⽅式组合⽽成。密码设置规律应当规避⼀些特定的规则、使⽤习惯等容易⽣成字典的规则来保证密码的安全性,⽐如有些⼈喜欢⽤⾝边的事、物、特定的字符串等去组合密码,⽐较常见就是使⽤键盘的排序进⾏组合密码,这种密码是⽐较容易通过⽣成字典库进⾏暴⼒破解匹配出来的。除此之外,还需要提⾼个⼈的安全意识,定期修改密码,保证账号的安全性;同时可对个⼈⾝份进⾏⼆次验证,⽐如⼿机短信确认、指纹认证、⼿势验证等,这样在很⼤程度上都能减少甚⾄能终⽌暴⼒破解。对于企业来说,密码信息泄漏⽆疑是⼀场灾难;越来越多的企业在不断谋求发展的同时,将数据保护作为⼀项不容忽视的重要战略来贯彻执⾏。针对暴⼒破解的防护措施通常采⽤⼀套规则,例如:访问者IP或设备指纹+持续登录⾏为+连续尝试登录次数+登录失败次数,通过规则判断是否属于暴⼒破解⾏为。这是通常意义上中规中矩的安全防卫理念,也是被动式的。在这个过程中,攻击者可以发起持续攻击;也可以通过使⽤代理、修改设备特征等⽅式规避防护规则,尝试对防护设备进⾏Bypass以达到反暴⼒破解的⽬的。对此,盛邦安全新⼀代Web应⽤防护系统RayWAF通过动态令牌、限速以及动态令牌+限速三种防护⽅式,对暴⼒破解⾏为进⾏精准识别和动态防御,可防⽌绝⼤部分的Web暴⼒破解攻击⾏为,实现对企业⽹络的有效安全防护。盛邦安全新⼀代Web应⽤防护系统(RayWAF)搭载了Web防护、全流量⼊侵防护、安全情报分析、机器⾃学习四⼤核⼼技术引擎,提供威胁情报智能聚合、⼊侵检测主动防御、机器学习⾃动建模、攻击溯源、IPv4/IPv6双栈协议防护、资产状态实时展⽰、爬⾍防御算法升级七⼤防护能⼒,帮助⽤户构建Web应⽤安全核⼼防御能⼒,在5G等新技术带来的更为复杂的⽹络环境下,⾼效、智能地应对混合攻击等威胁。

2023年7月31日发(作者:)

安全⼩课堂⼁什么是暴⼒破解?如何防⽌暴⼒破解?什么是暴⼒破解?暴⼒破解也可称为穷举法、枚举法,是⼀种⽐较流⾏的密码破译⽅法,也就是将密码进⾏⼀⼀推算直到找出正确的密码为⽌。⽐如⼀个6位并且全部由数字组成的密码,可能有100万种组合,也就是说最多需要尝试100万次才能找到正确的密码,但也有可能尝试⼏次后就能找出正确的密码。从理论上来说,只要字典⾜够庞⼤,枚举总是能够成功的,也就是说任何密码都能被破解,只是时间的问题;为了加快破解的效率,“有⼼⼈”会利⽤计算机来缩短破解的时间。如何防⽌暴⼒破解?对于个⼈来说,防⽌暴⼒破解的⽅法可以将密码设置到更⾼级别,也就是将密码的复杂程度提⾼,⽐如:增加密码位数并且设置时采取⼤⼩写字母、特殊符号、数字等多种⽆规律混合的⽅式组合⽽成。密码设置规律应当规避⼀些特定的规则、使⽤习惯等容易⽣成字典的规则来保证密码的安全性,⽐如有些⼈喜欢⽤⾝边的事、物、特定的字符串等去组合密码,⽐较常见就是使⽤键盘的排序进⾏组合密码,这种密码是⽐较容易通过⽣成字典库进⾏暴⼒破解匹配出来的。除此之外,还需要提⾼个⼈的安全意识,定期修改密码,保证账号的安全性;同时可对个⼈⾝份进⾏⼆次验证,⽐如⼿机短信确认、指纹认证、⼿势验证等,这样在很⼤程度上都能减少甚⾄能终⽌暴⼒破解。对于企业来说,密码信息泄漏⽆疑是⼀场灾难;越来越多的企业在不断谋求发展的同时,将数据保护作为⼀项不容忽视的重要战略来贯彻执⾏。针对暴⼒破解的防护措施通常采⽤⼀套规则,例如:访问者IP或设备指纹+持续登录⾏为+连续尝试登录次数+登录失败次数,通过规则判断是否属于暴⼒破解⾏为。这是通常意义上中规中矩的安全防卫理念,也是被动式的。在这个过程中,攻击者可以发起持续攻击;也可以通过使⽤代理、修改设备特征等⽅式规避防护规则,尝试对防护设备进⾏Bypass以达到反暴⼒破解的⽬的。对此,盛邦安全新⼀代Web应⽤防护系统RayWAF通过动态令牌、限速以及动态令牌+限速三种防护⽅式,对暴⼒破解⾏为进⾏精准识别和动态防御,可防⽌绝⼤部分的Web暴⼒破解攻击⾏为,实现对企业⽹络的有效安全防护。盛邦安全新⼀代Web应⽤防护系统(RayWAF)搭载了Web防护、全流量⼊侵防护、安全情报分析、机器⾃学习四⼤核⼼技术引擎,提供威胁情报智能聚合、⼊侵检测主动防御、机器学习⾃动建模、攻击溯源、IPv4/IPv6双栈协议防护、资产状态实时展⽰、爬⾍防御算法升级七⼤防护能⼒,帮助⽤户构建Web应⽤安全核⼼防御能⼒,在5G等新技术带来的更为复杂的⽹络环境下,⾼效、智能地应对混合攻击等威胁。