当攻击者针对一个特定帐户时，帐户锁定是针对暴力登录的有效速率限制措施。它对跨多个帐户的批量攻击无效。例如，可以尝试所有可能的用户名，同时为所有人尝试相同的通用密码，并恢复一定比例的帐户。

面对破解和验证码农夫，即使是验证码也只是一个真正的限速功能。

我知道它会发生，因为它发生在我身上。

由于对登录界面的暴力破解，不确定是否会发生这种情况。除了提到的网络钓鱼和木马攻击，以及可能的其他 Web 漏洞（如 XSRF）外，雅虎的数据库肯定在过去受到了破坏（可能泄露了对于普通密码和短密码可能可逆的哈希值）；另外，如果您在其他任何地方使用密码，则其他站点可能已被入侵。雅虎历来因帐户泄露而声名狼藉，这可能是所有这些事情的混合。

在这种情况下，他们将不得不以某种方式获取您密码的哈希值。对它运行一个工具，将可能产生的哈希值与你的真实哈希值进行比较。如果哈希匹配，那么他们知道生成该哈希所需的密码。现在只需一次尝试登录到您的雅虎帐户。

具有锁定或 CAPTCHA 机制，可防止在线攻击者进行暴力搜索。如果锁定时间是 10 分钟，那么要暴力破解 100 万（2^20）个单词的字典，攻击者需要 6944 天或近 20 年。计算如下图：

一世。锁定时间为 10 分钟，攻击者可以每小时从字典中尝试 6 个单词。ii. 一天 24*6 = 144 字。iii. 用尽字典所需的天数 = 2^20 / 144 = 6944 天。

因此，如果您从字典中设置密码，20 年内使用在线攻击您的密码肯定会被破解。平均而言，这将需要 10 年的时间。

然而，更多的威胁来自离线攻击。如果攻击者拥有您字典密码的哈希值，他可以在一秒钟内破解它。

现在大多数蛮力攻击使用组合列表而不是密码或字典攻击。组合列表是用户名和密码，格式为 username:password。他们通过 SQL 注入、网络钓鱼页面、键盘记录器甚至使用 Google dorks 在网络上查找网站转储来通过黑客数据库获取它们。

以您刚刚在网站或论坛上注册的场景为例，该网站将您的登录用户名和密码保存在易受 SQL 注入攻击的数据库中。黑客入侵数据库并从中提取所有用户名和密码。大多数人对所有事情都使用相同的用户名和密码，因此通过针对不同的网站运行这个用户名和密码的组合列表，您通常总是会获得一些点击。另一种方法是窃取论坛成员列表。通过这样做，您在大多数情况下已经拥有登录用户名。人们最常犯的错误之一是将密码与用户名相同，或者将 123456 甚至单词密码作为密码。因此，您要做的是创建一个列表，其中所有用户名都具有相同的密码。你总能找到用过 123456 的人，