什么是 Brute Force?
Brute Force 是那种老式的逐一尝试方法,用来破解密码、密钥或口令短语。脚本会一个组合接一个组合地猜,直到某个组合生效。把它想象成在一个巨大的钥匙圈上试每把钥匙,只不过这个钥匙圈由数学构成。
误区
Brute Force 并非总是立刻致命。在线登录通常会阻止快速猜测,但像钱包备份这样的离线文件如果口令弱,可以被以极高速度反复尝试。
Brute Force 如何工作
下面是操作步骤,没有什么电影特效:
- 目标:攻击者选定要入侵的登录、加密钱包文件或要解密的消息。
- 猜测:软件生成密码猜测,有时用字典和规则优化,有时纯随机。
- 反馈:每次尝试都会成功或失败,脚本据此调整或继续尝试。
- 转变:如果网站有速率限制,攻击者可能改为使用离线副本,比如被窃取的哈希或密钥库。
- 结果:强口令会拖慢 Brute Force,短或重复使用的口令会被破解。
是的,真的可以这么简单。
为什么 Brute Force 很重要
你需要关心,因为猜测可能清空钱包、篡改 NFT 上架或劫持交易所账户。几个需要注意的角度:
- 好处:了解 Brute Force 的运作方式能帮助你选择实际有效的防护措施。
- 视角:大多数入侵并非电影级魔法,更多是密码重复使用或有人利用 弱设置。
- 相关性:你会在交易所登录、钱包口令、验证者密钥和去中心化应用的管理面板中见到这类攻击。
提示
为所有与加密相关的交易所、钱包应用和邮箱开启 多因素身份验证 (MFA)。第二因素能毁掉大多数快速的 Brute Force 尝试。
Brute Force 的主要特征
快速判断你是否正在面对这种方法:
- 穷尽性:它测试大量猜测而不关心含义。
- 时间:防护效果随口令长度和随机性增长,而不是靠直觉判断。
- 速度:在线速度受限,离线利用 GPU 时速度可以非常快。
- 信号:大量失败登录或出现验证码提示可能表明网站遭受 Brute Force 攻击。
Brute Force 如何估算?
你可以通过搜索空间大小和每秒猜测次数来估算所需工作量。
给定字符集和长度的总组合数:
Combinations = S^L 其中 S 是字符集大小,L 是长度。成功所需的平均尝试次数约为总组合数的一半。
时间估算:
Time = Combinations / GuessesPerSecond 示例:字母和数字约为 62 个字符。长度為 10 则为 62^10 个组合,数量巨大,即便是快速设备也需要超出人注意力集中的时间。
变体
不同方式相同目标,取舍各有不同:
- 字典式:先尝试常见词和泄露的密码以加快速度。
- 凭证重放:重放泄露的邮箱和密码对,看看哪些仍然有效。
- 反向:选一个常见密码并将其应用到大量用户名上。
- 掩码:将猜测限制在某种模式内,例如以大写字母开头以数字结尾。
- 混合:将字典词与规则结合,例如添加年份或符号。
提醒
具有真实随机性的十二个助记词并不是随便能被 Brute Force 破译的目标。数学上它远超日常硬件的能力。
示例
一个机器人用数千个猜测攻击登录页面,遇到速率限制后,改为用 GPU 矿机在离线环境测试被窃的钱包文件。
有趣事实
Brute Force 比加密更早出现,但显卡让破解弱密码成为周末项目。你的游戏显卡猜测速度可能比一房间的老服务器快。
总结
使用长度足够且独一无二的口令短语,启用防护设置并加入第二因素,这样你会更安心。