在Mat Honan 被黑之后,我研究了自己在使用的众多网站上拥有的帐户清单。有一个事实很突出:
许多网站严格限制密码的大小和字符选项。
具有讽刺意味的是,政府和金融网站是最严重的违规者。一个政府网站将密码限制为 6-8 个字母数字字符。一些金融网站将大小限制为 8 个字符。
除非网站实施某种对策,否则尝试所有可能的攻击似乎是可行的。此处和此处讨论了针对此类攻击的对策。
我留下了以下问题:
如何确定网站是否以某种方式防止对我的密码进行暴力攻击?(假设我无法创建匿名帐户)
谷歌揭示了一些迹象表明存在应用程序和库来发起我自己的证明性攻击,我宁愿不冒险引起注意或导致拒绝服务。似乎应该有一种破坏性较小的方式来确定是否实施了对策。
继续解决早期答案:
实际上只有两种方法可以减轻在线暴力破解。你可以找他们两个。
风门。几次尝试后,网站是否会让您超时。响应您的请求是否需要很长时间(故意。认为错误的密码进入 SSH)。
如果一个网站在几次尝试后使用了将你锁定的节流阀,我会感到惊讶。假设攻击具有完整的用户名列表......他们可能会锁定所有用户。
验证码。如果您尝试次数过多,他们是在使用 reCAPTCHA 还是很烦人的东西?如果攻击者真的想......他可以将验证码解决方案外包到非洲或其他地方......但这需要很高的开销。
THC-Hydra是比较成熟的在线暴力破解工具之一。但是,如果您正在测试特定应用程序的蛮力敏感性,那么只需尝试登录多次,如果他们没有提示您使用 capthca,那么它很容易受到攻击。如果您清除 cookie 并且验证码消失,那么它很容易受到攻击。
获取 Tor 并设置它,在您要测试的服务(Google、Facebook 等)上创建一个新帐户,然后尝试暴力破解它。确保通过 Tor 代理执行暴力破解(就像注册一样),但确保您有一个新的 Tor 身份(与您创建帐户时不同的身份)。对于丢弃电子邮件,您可以使用http://mailinator.com。