什么是暴力破解

暴力破解，是一种针对于密码的破译方法，将密码进行逐个推算直到找出真正的密码为止

暴力破解常见的两种情况

穷举法

场景：非用户主动设置的字段，如验证码、手机号片段等，用于密码概率一样时

穷举法是指根据输入密码的设定长度、选定的字符集生成可能的密码全集，进行地毯式搜索。例如一个已知是四位并且全部由数字组成的密码，其可能共有10000种组合，因此最多尝试10000次就能找到正确的密码。理论上利用这种方法可以破解任何一种密码，但随着密码复杂度增加，破解密码的时间会指数级延长

字典法

场景：猜解人为设定的口令，因为人为设定受人方便记忆影响不同密码出现的概率是不一样

将出现频率最高的密码保存到文件中，这文件就是字典，暴破时使用字典中的这些密码去猜解，如12345678、password作为密码的概率比 HytU@762#qP 作为密码的概率要高得多，与穷举法相比，字典式攻击虽然损失了较小的命中率但节省了较多的时间，在实战中，我们也可以根据目标的个人信息作为字典的素材

网站常见的防爆破策略

• 锁定策略：输错密码几次就锁定一段时间

• 验证码技术：要求用户完成简单的任务才能登录到系统，用户可以轻松完成，但暴力工具无法完成。例如图形验证码、短信等

• 双因子认证：结合两种不同的认证因素对用户进行认证的方法。例如密码、身份证、安全令牌、指纹、面部识别等