查看“︁蛮力攻击”︁的源代码

{{NoteTA
|G1 = IT
}}
{{About|密码学上的暴力破解方法|数学上的穷举法|穷举法|计算机科学中的暴力搜索|暴力搜索}}
'''蛮力攻击'''（{{lang-en|Brute-force attack}}）<ref name=":0">{{Cite web|title=brute-force attack - 蠻力攻擊；蠻攻|url=https://terms.naer.edu.tw/detail/2453440/|access-date=2022-04-18|work=terms.naer.edu.tw|archive-date=2022-06-11|archive-url=https://web.archive.org/web/20220611091843/https://terms.naer.edu.tw/detail/2453440/}}</ref>，又稱為'''蠻攻<ref name=":0" />、穷举攻击'''（{{lang-en|Exhaustive attack}}）或'''暴力破解'''，是一种[[密碼分析]]的方法，主要透過軟體逐一測試可能的[[密碼|密码]]，直到找出真正的密码为止<ref>{{Cite web|title=9 types of password hacking attacks and how to avoid them|url=https://www.gadgetsnow.com/slideshows/9-types-of-password-hacking-attacks-and-how-to-avoid-them/photolist/90903441.cms|access-date=2022-04-18|work=Gadgets Now|language=en|archive-date=2022-06-11|archive-url=https://web.archive.org/web/20220611091758/https://www.gadgetsnow.com/slideshows/9-types-of-password-hacking-attacks-and-how-to-avoid-them/photolist/90903441.cms}}</ref>。例如：一个已知是四位數，全部由[[阿拉伯数字]]组成的密碼共有10,000個组合，因此最多尝试9,999次就能找到正確的密码。理論上除了具有[[完善保密性]]的密码以外，利用这种方法可以破解任何一種密码，技術成分在於如何縮短試誤时间。有些人运用[[电子计算机|计算机]]来增加效率，有些人透過[[字典攻擊]]來縮小密碼組合的範圍。<ref>{{Cite web |url=https://www.tarsnap.com/scrypt.html |title=The scrypt key derivation function |access-date=2014-02-13 |archive-date=2017-12-15 |archive-url=https://web.archive.org/web/20171215155135/http://www.tarsnap.com/scrypt.html |dead-url=no }}</ref>

==字符类型==
字符类型一般可以分为以下5种：
*[[阿拉伯數字]]：0、1、2、...9等（10個）
*大写[[英文字母|字母]]：A、B、C、...Z等（26個）
*小写[[英文字母|字母]]：a、b、c、...z等（26個）
*[[Unicode字元列表#基本拉丁字母|特殊字符]]：!、#、$、%、~等等（33個），一般較少使用。
*用户自定义字符

如果一个多位数并且包含以上所有可能[[字符_(计算机科学)|字元]]的密码，其组合方法一定多的惊人，且每增加一位數，密码组合數量會以數十倍[[指數]]成長（例如：包含數字及字母大小寫，共62個字元的10位數的密码，共有<math>62^{10}</math>，大約<math>83.9\times 10^{16}</math>種組合），[[破译]]的[[时间]]也会更长，有时可能长达数十年（即便考慮電腦性能依[[摩爾定律]]會有所進步），甚至更久。

由于穷举法破解所消耗的时间不小于完成破解所需要的[[多项式时间]]，故从[[密码学]]角度考虑，不认为穷举法是有效的破解方法。可以通過為每個在線帳戶創建唯一密碼來避免這些情况。

==字典攻擊==
破譯一個相當長度並且包含各種可能字元的密碼所耗費的時間相當長，其中一個解决办法就是运用[[字典]]。所谓「[[字典攻擊]]」就是使用預先製作好的清單，例如：[[英文]]單字、[[生日]]的数字组合、以及各種常被使用的密碼，等等，利用一般人習慣設定過短或過於簡單的密碼進行破譯，很大程度上缩短破译时间。

==超级计算机与穷举法==
为提高密码的破译效率，有些領域會专门为其制造[[超级计算机]]，例如：用於破解[[DES]]加密法的「[[EFF DES破解機|深譯]]」、[[IBM]]为[[纽约大学|紐約大學]]及[[美国]]军方制造的「WindsorGreen」。<ref>{{Cite web|title=NYU Accidentally Exposed Military Code-breaking Computer Project to Entire Internet|url=https://theintercept.com/2017/05/11/nyu-accidentally-exposed-military-code-breaking-computer-project-to-entire-internet/|access-date=2022-04-18|last=BiddleMay 11 2017|first=Sam BiddleSam|work=The Intercept|language=en|archive-date=2022-06-09|archive-url=https://web.archive.org/web/20220609122236/https://theintercept.com/2017/05/11/nyu-accidentally-exposed-military-code-breaking-computer-project-to-entire-internet/}}</ref><ref>{{Cite web|title=Military Encryption-Breaking Project from Department of Defense Found Unencrypted on Backup Server|url=https://www.bitdefender.com/blog/hotforsecurity/military-encryption-breaking-project-from-department-of-defense-found-unencrypted-on-backup-server|access-date=2022-04-18|work=Hot for Security|language=en|archive-date=2022-06-16|archive-url=https://web.archive.org/web/20220616214019/https://www.bitdefender.com/blog/hotforsecurity/military-encryption-breaking-project-from-department-of-defense-found-unencrypted-on-backup-server}}</ref>

==防护手段==
{{see also|密码强度}}
最重要的手段是在构建系统时，将系统设计目标定为即便受到暴力破解的攻击也难以被攻破。以下列举了一些常用的防护手段：

* 增加密码的长度与复杂度。
* 在系统中限制密码嘗試的次数。
* 密码验证时，将验证结果不是立即返回而是延时若干秒后返回。
* 限制允许发起请求的客户端的范围。
* 禁止密码输入频率过高的请求。
* 将密码设置为类似[[安全令牌]]那样每隔一定时间就发生变化的形式。
* 当同一来源的密码输入出错次数超过一定阈值，立即通过邮件或短信等方式通知系统管理员。
* 人为监视系统，确认有无异常的密码试错。
* 使用[[兩步驟驗證|兩步驟認證]]，例如使用者登入帳號密碼時，系統同時發送簡訊到使用者的手機，使用者需輸入簡訊內的認證碼。

== 参考文献 ==
{{Reflist}}

{{-}}
{{分组密码}}
{{Hacking|state=collapsed}}

[[Category:電腦術語]]
[[Category:密码分析|B]]