問(wèn)：為什么現(xiàn)在對(duì)電子郵件帳號(hào)的暴力破解成為一種流行的攻擊技術(shù)？這種攻擊是如何完成的？那么我們又能做些什么防范措施以在企業(yè)級(jí)別上去防止這種暴力攻擊呢？

答：這是問(wèn)題問(wèn)得很好。對(duì)于基于網(wǎng)頁(yè)的電子郵件帳號(hào)進(jìn)行暴力破解變得非常流行，因?yàn)檫@種技術(shù)是如此的簡(jiǎn)單易行。當(dāng)前的用于暴力猜測(cè)密碼的工具現(xiàn)在比比皆是，并且只需要掌握很少量的技術(shù)就可以很熟練的去應(yīng)用這些工具，比如像“Brutus”就屬于一種這樣的工具。你只需要給Brutus一個(gè)由單詞組成的列表（也就是一個(gè)詞典），這個(gè)列表的內(nèi)容將被作為用戶名和密碼。Brutus將從列表中取出任何可能的用戶名，密碼組合去猜測(cè)帳號(hào)，直到某一種組合起作用。某些工具可能還會(huì)嘗試每個(gè)密碼的一些簡(jiǎn)單變形（比如”“fluffy8”，“fluffy9”,等等）。這些攻擊工具是如此簡(jiǎn)單以至于一個(gè)十幾歲的孩子都可以通過(guò)簡(jiǎn)單的點(diǎn)擊動(dòng)作去完成對(duì)基于網(wǎng)頁(yè)的電子郵件帳號(hào)的暴力破解的工作。

好消息是我們有許多有效的方法來(lái)防止這種針對(duì)企業(yè)的基于網(wǎng)頁(yè)的電子郵箱的帳號(hào)暴力攻擊。也許這當(dāng)中最直接的策略是使用雙因素認(rèn)證。我們都知道通常有三種形式的認(rèn)證：

1.你擁有什么？（比如一張借記卡）
2.你知道什么？（比如一個(gè)密碼）
3.你的東西是什么？（比如你的指紋）

由密碼所保護(hù)的基于網(wǎng)頁(yè)的電子郵件帳號(hào)就是一種典型的單因素認(rèn)證機(jī)制（即，你知道什么）。由于密碼經(jīng)常會(huì)被遠(yuǎn)程猜測(cè)出來(lái)或者被盜竊，所以對(duì)于限制訪問(wèn)的需求來(lái)說(shuō)這種認(rèn)證機(jī)制是一種非常低安全度的方法。

對(duì)于基于網(wǎng)頁(yè)的電子郵件系統(tǒng)，我建議使用至少兩個(gè)認(rèn)證因素，比如使用RSA信息安全公司的硬件SecurID令牌。這些令牌就如您的手掌大小，便于攜帶，同時(shí)他們能在您每次登錄的時(shí)候顯示一個(gè)不同的登錄密碼。這個(gè)密碼永遠(yuǎn)不會(huì)重復(fù)，而能達(dá)到與某個(gè)密碼有效期間同步地進(jìn)行密碼猜測(cè)的幾率是相當(dāng)?shù)男〉摹＿@個(gè)令牌（你擁有的）和這個(gè)個(gè)人身份號(hào)碼（你知道的）結(jié)合起來(lái)之后，您只需要如通常那樣輸入這個(gè)個(gè)人密碼即可。當(dāng)然，還有很多其他的方式去實(shí)現(xiàn)這種雙因素認(rèn)證機(jī)制，比如基于軟件的認(rèn)證者或者基于手機(jī)的一些認(rèn)證系統(tǒng)。

另一方面，您也可以通過(guò)限制登錄嘗試的次數(shù)來(lái)降低網(wǎng)頁(yè)電子郵件帳號(hào)被暴力破解的危險(xiǎn)(比如，在一分鐘之內(nèi)三次登錄失敗將會(huì)導(dǎo)致一次十五分鐘的系統(tǒng)鎖定)。這種方式可以有效地限制一個(gè)攻擊者進(jìn)行攻擊時(shí)的猜測(cè)次數(shù)。同時(shí)，您還需要確保您擁有一個(gè)強(qiáng)口令規(guī)則，使得在這個(gè)規(guī)則下的密碼都很難通過(guò)一般的方法被猜測(cè)到進(jìn)而被檢測(cè)到帳號(hào)信息。最后，如果您的系統(tǒng)存在一個(gè)密碼復(fù)位機(jī)制，還需要確保復(fù)位密碼時(shí)所使用的問(wèn)題的答案的安全，即，它不應(yīng)該很容易就能夠通過(guò)一些公開(kāi)的信息或者社會(huì)網(wǎng)絡(luò)來(lái)獲得。

【編輯推薦】

1. 信息安全防護(hù) 從保證電子郵件安全開(kāi)始
2. 攜手打造安全網(wǎng)絡(luò)和電子郵件解決方案
3. 保證電子郵件安全的五個(gè)小竅門