什么叫字典破解？

所谓“字典攻击”就是使用预先制作好的清单，例如：英文单字、生日的数字组合、以及各种常被使用的密码，等等，利用一般人习惯设置过短或过于简单的密码进行破译，很大程度上缩短了破译时间。

破译一个相当长度并且包含各种可能字符的密码所耗费的时间相当长，其中一个解决办法就是运用字典。

例如：一个已知是四位数并且全部由阿拉伯数字组成的密码，其可能共有10000种组合，因此最多尝试9999次就能找到正确的密码。理论上除了具有完善保密性的密码以外，利用这种方法可以破解任何一种密码，问题只在于如何缩短试误时间。

有些人运用计算机来增加效率，有些人透过字典攻击来缩小密码组合的范围。

如果一个多位数并且包含以上所有可能字符的密码，其组合方法一定多的惊人，且每增加一位数，密码组合数量会以数十倍指数成长，破译的时间也会更长，有时可能长达数十年（即便考虑电脑性能依摩尔定律的进步），甚至更久。

由于穷举法破解所消耗的时间不小于完成破解所需要的多项式时间，故从密码学角度考虑，不认为穷举法是有效的破解方法。

防护手段

最重要的手段是在构建系统时要将系统设计目标定为即便受到暴力破解的攻击也难以被攻破。以下列举了一些常用的防护手段：

1、增加密码的长度与复杂度。

2、在系统中限制密码尝试的次数。

3、密码验证时，将验证结果不是立即返回而是延时若干秒后返回。

4、限制允许发起请求的客户端的范围。

5、禁止密码输入频率过高的请求。

6、将密码设置为类似安全令牌那样每隔一定时间就发生变化的形式。

7、当同一来源的密码输入出错次数超过一定阈值，立即通过邮件或短信等方式通知系统管理员。

8、人为监视系统，确认有无异常的密码试错。

9、使用双因子认证，例如用户登录账号密码时，系统同时发送短信到用户的手机，用户需输入短信内的认证码。

弱密码的常用弱密码

外国2011年弱密码

美国密码管理应用提供商SplashData总结出2011年度最差25个密码(括号为360密码安全鉴定器分数)：

1.password（密码）(35)

2.123456(30)

3.12345678(45)

4.Qwerty（电脑标准键盘）(30)

5.abc123(42)

6.Monkey（猴子）(30)

7.1234567(30)

8.Letmein（让我进）(30)

9.trustno1（不要相信任何人）(47)

10.Dragon（龙）(30)

11.Baseball（棒球）(45)

12.111111(30)

13.Iloveyou（我爱你）(45)

14.Master（主人）(30)

15.Sunshine（阳光）(45)

16.Ashley（人名）(30)

17.Bailey（人名）(30)

18.passw0rd(47)

19.Shadow（影子）(30)

20.123123(30)

21.654321(30)

22.Superman（超人）(45)

23.Qazwsx(30)

24.Michael(30)

25.football（足球）(35)

据SplashData公司介绍，他们通过分析黑客张贴在网上的数百万个被盗用户名和密码，才得出这个最差密码排行榜的。在这里，“最差”则意味着最容易被人猜中，最容易被黑客盗走。

入榜密码大多有规律可循。最常见的密码是password（密码的英文）。把其中的字母O改成数字0似乎是个聪明办法，但事实上这个密码也上榜了，名列第18位。

国内2011年弱密码

国外安全机构SplashData针对英语人群总结出2011年度最烂、最易被盗取的25个“弱密码”。2011年11月22日，国内最大的网络安全厂商360安全中心也发布了《密码安全指南》，并根据国内流行的密码破解字典软件破解列表，整理结出中国网民最常用的25个“弱密码”。

据360安全专家介绍，中国网民常用的TOP25 “弱密码”中，有9个与国外网民使用习惯完全相同。其中，除password、abc123、iloveyou、qwerty等全球网民通用“弱密码”外，其余均为数字组合。而简单的数字组合，似乎更是中国网民最爱，占了榜单近半数。比如“666666”和“888888”这样的吉利数，几乎是所有中国黑客密码字典中的必备项，而“5201314”(我爱你一生一世)显然被国人寄予了浓厚的感情色彩，为中国特色“弱密码”。

据统计，网民常用的“弱密码”主要包括简单数字组合、顺序字符组合、临近字符组合以及特殊含义组合等四大类别。而从中国版“弱密码”榜单来看，国内网民更习惯设置6位字符密码，TOP25中竟有18个是6位字符，所占比例高达72%。此外，“a1b2c3”和“p@ssword”这类组合型密码看似复杂，其实也在黑客重点关注的密码列表中。

360安全专家警告称，如果系统帐号或其他网络帐号采用上述“弱密码”，很容易被黑客利用密码字典自动“蒙中”，从而造成个人隐私信息泄漏甚至财产损失。针对部分用户为系统设置简单“弱密码”的登录习惯，新版360安全卫士增加了“黑客入侵防护”功能，可以为用户检测近千个弱密码，并在系统遭受入侵攻击时提示用户修改高强度密码。

与此同时，360安全中心还针对中国网民密码使用习惯发布了《密码安全指南》，建议网民从以下四个方面保护帐号安全：

第一、尽量使用“字母+数字+特殊符号”形式的高强度密码;

第二、网银、网上支付、常用邮箱、聊天帐号单独设置密码，切忌“一套密码到处用”;

第三、按照帐号重要程度对密码进行分级管理，重要帐号定期更换密码;

第四、避免以生日、姓名拼音、手机号码等与身份隐私相关的信息作为密码，因为黑客针对特定目标破解密码时，往往首先试探此类信息。

什么是字典攻击？

在破解密码或密钥时，逐一尝试用户自定义词典中的可能密码（单词或短语）的攻击方式。与暴力破解的区别是，暴力破解会逐一尝试所有可能的组合密码，而字典式攻击会使用一个预先定义好的单词列表（可能的密码）。

分析上文的场景，实施一次字典攻击需要具备两个要素：

黑客了解认证方式（包括认证协议以及地址、端口等信息），如同小偷需要知道库房在哪儿，房门挂着的是大铜锁还是密码锁，甚至虹膜、指纹识别？拿着一串金属钥匙想打开生指纹识别锁显然不现实。

黑客拥有比较全面的口令集，包含着各类常见的弱口令，或者目标系统经常出现的组合口令，或者目标系统曾经泄露的口令集。这样才有更多的尝试机会。通常一次字典攻击的实施还是很耗费时间的，特别是目标系统的口令不那么常见。