暴力攻击(Brute Force Attack)

-图片来源：Toussaint Ilboudo
我碰到了有关卢克小组中的暴力攻击事件的帖子，并恭敬地不同意建议的答案“ C. 使用彩虹表将已知哈希与未知哈希进行比较。” 相反，我建议选择“D。反复猜测用户的密码，直到找到正确的密码为止。

当使用Rainbow表时，它几乎将上下文限制为攻击散列的密码文件/存储库。但是，攻击者可以发起暴力攻击，以手动或自动尝试针对系统输入用户密码，或者在没有字典或Rainbow表支持的情况下破解密码文件/存储库。换句话说，无论密码如何存储，暴力密码攻击都可以应用於系统或密码文件/存储库。
密码通常可以以下格式存储：

1. 原始值（纯文本）
2. 加密值（密文）
3. 哈希值（彩虹表仅适用於此格式）
4. 盐值
   暴力攻击适用於上述所有四种格式，而Rainbow表仅适用於哈希密码。

定义
. 一个暴力攻击（brute-force attack）是一种上采用了一个密码攻击穷举搜索（exhaustive search）一组密钥，密码或其他数据。（ISO / IEC 11770-4：2017）
. 一个穷举攻击（exhaustive attack），又名暴力攻击（brute-force attack），是一种“试错尝试，试图违反计算机安全可能的口令或密码的值。” （ISO / IEC 2382：2015）
. 暴力密码攻击（brute force password attack）是“通过试图访问阻塞的装置的方法的多个数字/字母数字口令的组合。” （NIST SP 800-101修订版1）
. 一个暴力攻击（brute force attack）是“在密码学中，涉及试图攻击所有可能的组合，以找到一个匹配。” （NISTIR 8053）
. 一个字典攻击（dictionary attack）（基於密码的系统）是对使用搜索的的密码“攻击定列表的密码。基於密码的系统上的字典攻击可以使用特定密码值的存储列表或自然语言字典中的单词存储列表。”（ISO / IEC 11770-4：2017）
. 盐值（Salt）是作为单向或加密功能的辅助输入而合并的随机变量，用於导出密码验证数据。” （ISO / IEC 11770-4：2017）

资料来源： Wentz Wu 网站