我更喜欢称它们为“在线密码猜测攻击”，因为“蛮力”具有特定含义，可能并不总是适用于这些攻击。但是，是的，它们仍然会发生，这里有一些示例数据供您参考：

微软：“我们每天在我们的身份系统中检测到超过 1000 万次凭据攻击。”

Akamai：他们观察到“999,980 个 IP 参与了针对 [a金融机构] 客户登录页面的攻击。” 一周内检查了 4.27 亿个账户。还看到 817,390 个 IP 使用 6500 万个电子邮件地址对娱乐行业客户进行了 3.88 亿次登录尝试。比较两种攻击的源 IP，他们发现 70% 匹配，这意味着同一个组织对这两种攻击负责，或者他们使用了同一个僵尸网络。

谷歌：“我们已经看到一个攻击者每天使用被盗密码试图侵入一百万个不同的谷歌账户，一次持续数周。另一个团伙以每秒超过 100 个帐户的速度尝试登录。” 这是 2013 年报道的，但我确信他们仍然面临类似的攻击。

淘宝网：淘宝网在 2015 年 10 月的几天内遭到在线猜测攻击。攻击者使用了从其他网站收集的 99M 凭据。2050 万个凭证与淘宝账户相匹配，约占其年度活跃买家总数的 20 分之一。直到 11 月才被发现，但阿里巴巴表示当时他们的安全系统发现并阻止了绝大多数登录尝试。仍然在他们的网站上造成了大约 100 万美元的欺诈交易。

在这些情况下，这些站点可能具有速率限制或其他自适应身份验证控制，但它们在阻止所有帐户接管尝试方面并非 100% 有效。

有趣的是，是的。WordPress 网站一直受到直接的密码猜测攻击。默认情况下，WordPress 确实允许用户名枚举，并且似乎有少数人使用真实用户名来尝试仅猜测密码，但大部分攻击都猜测用户名和密码。

我运行了几年的 WordPress 蜜罐，我看到了许多密码猜测攻击。大多数来自单个 IP 地址，但少数来自 50-60 个 IP 地址。我一天得到了多达 28 万个猜测。

我不知道任何出版物，甚至没有尝试全面统计，所以我所拥有的只是轶事。

验证码在房子里闯入以挽救这一天。实际上不仅是验证码。有一次我试图制作一个简单的 Gmail PDA（Python Dictionary Attacker）。它基本上只是从字典文件中读取每一行并尝试输入电子邮件的所有单词。

但我无法做到这一点，因为 Gmail 有这个新功能，即用户设置，它不允许从“非现代电子邮件服务”接收甚至进行身份验证。默认情况下它是打开的。有关更多信息，请参见：https: //support.google.com/accounts/answer/6010255?hl=en

但这并不意味着不可能。它是。当然，它们可能不是“事物”，但它们绝对是“事物”。有很多年轻有抱负的 IT 爱好者尚未展现他们的才能。其中一个可能是为这些验证码找出一种更聪明、更准确的解决方法的人。其中之一甚至可能是破解不可破解者的人。他们中的大多数人的目标是戴一顶白帽子，或者至少是灰色的，他们只是想让你感觉更安全，所以要振作起来。