觸寶安全信息講堂：網路數據安全之暴力破解

最新 07-11

提到網路安全，一般用戶會覺得離自己很遙遠。然而最近不少知名產品都曝出了安全醜聞，例如「微信支付被曝安全漏洞：可隨便買買買」、「A站近千萬條用戶數據外泄「、」390款監控攝像頭受多個漏洞影響，個人隱私一覽無遺「等等。加上之前引起轟動的「全球勒索病毒「、「Apple IOS安全漏洞「、「美電信巨頭Frontier曝密碼重置漏洞」等等，網路安全一時引起熱議。

觸寶作為一家創新型移動互聯網公司。旗下的產品包括觸寶輸入法、觸寶電話以及一系列全球生態產品。觸寶的產品每時每刻都在服務於全球數以億計的用戶。其中，僅觸寶輸入法這一款產品的日活躍用戶就超過1.1億。目前支持超過110種語言，覆蓋240多個國家與地區。

如何保護用戶的信息數據、保障服務的安全穩定，一直是觸寶安全工程師的重要課題。在維護公司的網路安全問題上，我們總結了一系列的經驗。一方面期望向大家科普網路安全中的主要攻擊手段，一方面介紹下在遇到這些攻擊時可以採取的防禦措施。

本次給大家介紹的是：在網路安全中最簡單粗暴但卻最直效的攻擊手法--暴力破解以及如何防禦它。

暴力破解，顧名思義是通過某種簡單直接的特殊手法來快速達到某種特定目標，如獲取用戶的用戶名、密碼、驗證碼、信息等等。暴力破解的原理就是窮舉法，即當確定答案的大致範圍或者部分條件的時候，列出所有的可能性結果，逐一驗證。

舉例來說，有一個3位數字密碼的行李箱。想要打開行李箱，最簡單的方法就是依次嘗試從000～999之間的3位數字，總有一個是正確密碼。

暴力破解的前提是窮舉的所有可能性中至少有一個符合問題的答案。

在網路安全中，暴力破解無時無刻不在威脅著各個系統、伺服器、資料庫等。舉個簡單的例子：

場景1: 某電商網站的賬號登錄時需要填入用戶名、密碼。某些用戶無意中泄露了自己的用戶名。惡意用戶XXX進入該網站註冊頁面，進行賬號註冊時，發現該網站提示密碼必須為不小於6位、不大於8位的數字且沒有對密碼嘗試次數做任何限制。

於是、惡意用戶開始進行以下暴力破解操作流程。

第一步：惡意用戶通過密碼規則要求製作了一份破解「字典」，「字典」里包含了所有符合該網站密碼規則的密碼組合。

第二步：惡意用戶使用這份「字典」針對泄露的用戶名進行暴力破解嘗試，即針對泄露的用戶名，遍歷輸入字典進行登錄嘗試。

第三步：由於網站本身沒有登陸限制，在連續跑了N小時的暴力破解程序後，成功登陸該用戶的賬戶，並且竊取自己需要的資料。

上面例子可以讓我們知道暴力破解的可怕性和危害性。然而時至今日有許許多多企業仍然沒有意識到這種問題，產品在功能邏輯設計時並沒有考慮安全，每天發生的暴力破解入侵事件仍然數不勝數。

我們再回頭看文章開頭提到的「美電信巨頭Frontier曝密碼重置漏洞」事件：

今年6月，美電信巨頭Frontier Communications（以下簡稱Frontier）被爆出嚴重的用戶密碼重置漏洞。Frontier作為一家電信巨頭，其用戶密碼管控做的非常嚴格，然而卻在用戶重置密碼的這部操作中留下了一個很小的邏輯漏洞，最終導致了安全問題，常規情況下，用戶進行密碼重置的操作為：

STEP1: 在已知用戶名和用戶註冊郵箱的情況，用戶發送重置密碼請求；

STEP2: 通過重置密碼介面，後台系統會向該用戶的註冊郵箱發送一個驗證碼。

STEP3: 用戶收到密碼重置的郵件後，在Frontier Communications網站的重置密碼的頁面輸入郵件中的驗證碼。

STEP4: 通過驗證，填入新密碼就可以重置當前賬戶的密碼了。

黑客又是怎麼做的呢？黑客通過正常渠道重置自己的密碼，查看郵件驗證碼規則，發現為6位純數字。通過測試發現該系統重置驗證碼處可以無限認證，於是黑客通過暴力破解，無限向該系統發送6位數字進行嘗試，直到驗證成功，成功重置了其他的用戶賬戶。

通過上面兩個例子，我們可以舉一反三出第三個例子。實際上這種情況在很多公司目前都還存在：

場景2: 在公司內網環境中，公司的OA系統、郵件系統會自動給新入職的員工生成賬號、密碼。用戶需要首次登陸後自行進行修改密碼。

OA系統發放給員工的初始賬號為員工的姓名拼音，密碼默認都是123456。

郵件系統發放給員工的初始賬號為員工的姓名拼音，默認發放密碼為company013101、company020301……