暴力破解网络密码的可行性研究

Question

我很熟悉离线蛮力攻击是如何工作的。但是对于在线账户，假设没有社会工程，用暴力攻击密码有多大的可行性？例如，这取决于密码的复杂性，或者可能是其他一些漏洞，比如监听SSL/TLS握手？

Answer 1

针对设计合理的系统的在线暴力攻击对所有密码都是不可行的，但最薄弱的密码除外。

这是因为在线系统可以实现一系列限制速率的技术，从而限制攻击者猜测单个帐户密码的次数。

当然，也有一些技术可以用来尝试和规避速率限制技术，例如对多个用户帐户尝试一个密码，或者在多个IP地址之间分发登录尝试，以试图通过IP禁令。然而，我不确定这些技术的有效性。

还有一个因素限制了网络暴力攻击的有效性。这种攻击的限制因素通常不是可以从大型GPU农场获益的处理能力。限制因素通常是网络。每个单独的网络接口只能每秒发送多个数据包。即使您能够负担得起数千个网络接口为在线暴力攻击发送必要的数据包，您的目标服务器可能无法处理对其进行轰炸的数百万数据包。此时，您的网络暴力攻击已经变成了拒绝服务攻击。

假设您谈论的是web应用程序，攻击者可能更容易利用其他缺陷(如SQL注入)获得数据库转储，并使用专用硬件集群执行脱机攻击。