攻击与威胁
字典攻击
别称: 词表攻击
定义
有针对性的密码猜测攻击,使用预先编制的常见词、泄露密码及规则衍生变体作为候选。
字典攻击通过仅尝试更有可能的候选,缩小暴力破解的搜索空间,包括常用词、姓名、日期、泄露密码以及基于规则的变形(如 "Password" → "P@ssw0rd!2025")。现代密码破解工具(Hashcat、John the Ripper)将字典、掩码、混合规则与马尔可夫模型叠加于已捕获的哈希上,比纯暴力破解快几个数量级。防御重点在密码存储层:采用 Argon2id、bcrypt、scrypt 或高迭代 PBKDF2 等加盐 memory-hard 哈希;禁止已知或已泄露的密码;鼓励较长的口令短语;并配合 MFA。
示例
- 用 rockyou.txt 和 Hashcat 规则文件破解泄露的密码数据库。
- 针对捕获的 NTLM 哈希,尝试包含企业相关词汇的定制字典。
相关术语
暴力破解攻击
系统性地枚举所有可能值(通常是密码、PIN 或密钥),直到找到正确值的攻击。
彩虹表攻击
一种预计算攻击,通过把哈希函数与归约函数交替形成的链以紧凑表格存储,从而能远比暴力破解更快地反推未加盐的密码哈希。
撞库攻击
利用某一服务泄露的大量用户名/密码组合,在其他服务上自动重放登录,利用用户密码复用接管账户的攻击。
密码喷洒攻击
低速广撒网式攻击:用少量常见密码尝试大量账户,以避开账户锁定和速率限制阈值。
Password
Password — definition coming soon.
Argon2
现代的内存密集型口令哈希与密钥派生函数,在 2015 年口令哈希竞赛中胜出,并由 RFC 9106 标准化。