【问题标题】:Is Bruteforce attack really an achievable thing? [closed]蛮力攻击真的可以实现吗? [关闭]
【发布时间】:2023-03-30 10:45:01
【问题描述】:

我正在尝试对我的一个网站进行渗透测试。我不知道用户名和密码。我正在尝试使用暴力破解破解用户名和密码。

虽然,这个策略应该是直接的,因为我需要每次都生成一个可变长度的新字母数字组合,并使用一些自己编写的程序发布它。

但是这种策略需要大量的处理时间和能力。我的简单疑问是,这种策略是否足以破解用户名和密码,或者预计会完成其他一些任务。

我听说过很多关于字典攻击的事情,但这也需要预先定义的用户名和密码列表。

我应该选择 brutus(但它对我不起作用)还是自己编写的程序? 获取用户名和密码的正确方法是什么?

【问题讨论】:

  • 这是一篇很好的文章,介绍了经验丰富的黑客破解密码的难易程度:arstechnica.com/security/2013/05/…
  • 人类选择的密码不是随机的或分布特别好的——这就是我改用 KeyPass 之类的工具并随机生成不同的 128 的原因之一~位键和密码短语。有论文表明,针对许多帐户尝试按频率选择有限的密码更具“成本效益”。
  • 这个问题似乎跑题了,因为它与编程无关。
  • 这个问题似乎是题外话,因为它是关于安全性的。改用security.stackexchange.com

标签: security passwords brute-force dictionary-attack


【解决方案1】:

它不仅可以通过使用 GPU 和 FPGA 的现代方法实现,而且是一种非常可行的方法。请注意,这不一定适用于客户端-服务器模型。但是,如果您已经加密了受 PBKDF2 等保护的数据,则有足够的计算能力可以恢复密码和密钥。适当的方法取决于您要攻击的是什么。攻击网站要困难得多,因为如果没有分布式攻击,该网站可以简单地限制其响应,从而减慢您的攻击时间。

【讨论】:

    【解决方案2】:

    针对实时系统的在线暴力攻击是不可行的,因为它太慢了:有限的带宽、延迟、节流,可能还有验证码等。可以尝试字典攻击,但可能只有很短的密码列表.

    但是对于离线密码攻击,攻击者拥有密码哈希,唯一的限制因素是他自己系统的硬件和软件。然而,由于成本效益比,暴力攻击通常仍然只针对高价值目标是可行的。

    【讨论】:

    • 借助 MD5/SHA 之类的快速哈希(以及仍然不能很好地分布或以其他方式减少的密码),蛮力对于即使是低价值目标也是“可行的”。无需破解任何特定密码即可恢复大量密码..
    猜你喜欢
    • 2012-07-04
    • 1970-01-01
    • 1970-01-01
    • 2011-06-10
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2011-06-01
    • 1970-01-01
    相关资源
    最近更新 更多