字典攻击是一种凭证破解方法,通常通过系统地循环预编译的潜在密码列表来破坏身份验证系统。 这种技术也称为基于字典的攻击,利用用户根据标准单词、常用短语、专有名词或可预测字符组合选择密码的倾向。 此外,攻击者经常使用基于字典的方法来自动枚举垃圾邮件活动的有效电子邮件地址。
与暴力攻击不同,暴力攻击会彻底尝试所有可能的字符排列(消耗大量的计算资源和时间),而字典攻击则利用包含常用或泄露密码的预定义单词列表,从而实现更快速、更高效的资源利用率。
用于执行字典攻击的字典和专用软件工具在安全社区资源中广泛可用,既可以商业获得,也可以免费获得。 词典的规模从数千个条目到数百万个条目不等。 IT 管理员和安全专家通常会主动利用这些工具和字典(进行安全测试、渗透评估和密码审计)来评估他们的系统对这种攻击媒介的敏感性。
一种常见的缓解技术涉及强制执行密码创建策略,该策略自动拒绝仅来自字典条目或可预测密码列表的凭据。 然而,过于严格的字典过滤策略可能会对用户体验产生不利影响,并导致选择合规密码的困难。 因此,安全从业人员必须在密码复杂性要求和实际可用性考虑之间取得平衡。
另一项关键政策是消除“Joe 帐户”——用户名和密码相同的用户帐户——因为这些帐户通常是自动字典攻击工具的主要目标。 安全管理员至少应该实施控制,禁止创建 Joe 帐户,并执行密码复杂性指南,以最大限度地减少成功的凭证猜测尝试。