問：為什么現(xiàn)在對電子郵件帳號的暴力破解成為一種流行的攻擊技術(shù)？這種攻擊是如何完成的？那么我們又能做些什么防范措施以在企業(yè)級別上去防止這種暴力攻擊呢？

答：這是問題問得很好。對于基于網(wǎng)頁的電子郵件帳號進行暴力破解變得非常流行，因為這種技術(shù)是如此的簡單易行。當前的用于暴力猜測密碼的工具現(xiàn)在比比皆是，并且只需要掌握很少量的技術(shù)就可以很熟練的去應(yīng)用這些工具，比如像“Brutus”就屬于一種這樣的工具。你只需要給Brutus一個由單詞組成的列表（也就是一個詞典），這個列表的內(nèi)容將被作為用戶名和密碼。Brutus將從列表中取出任何可能的用戶名，密碼組合去猜測帳號，直到某一種組合起作用。某些工具可能還會嘗試每個密碼的一些簡單變形（比如”“fluffy8”，“fluffy9”,等等）。這些攻擊工具是如此簡單以至于一個十幾歲的孩子都可以通過簡單的點擊動作去完成對基于網(wǎng)頁的電子郵件帳號的暴力破解的工作。

好消息是我們有許多有效的方法來防止這種針對企業(yè)的基于網(wǎng)頁的電子郵箱的帳號暴力攻擊。也許這當中最直接的策略是使用雙因素認證。我們都知道通常有三種形式的認證：

1.你擁有什么？（比如一張借記卡）
2.你知道什么？（比如一個密碼）
3.你的東西是什么？（比如你的指紋）

由密碼所保護的基于網(wǎng)頁的電子郵件帳號就是一種典型的單因素認證機制（即，你知道什么）。由于密碼經(jīng)常會被遠程猜測出來或者被盜竊，所以對于限制訪問的需求來說這種認證機制是一種非常低安全度的方法。

對于基于網(wǎng)頁的電子郵件系統(tǒng)，我建議使用至少兩個認證因素，比如使用RSA信息安全公司的硬件SecurID令牌。這些令牌就如您的手掌大小，便于攜帶，同時他們能在您每次登錄的時候顯示一個不同的登錄密碼。這個密碼永遠不會重復，而能達到與某個密碼有效期間同步地進行密碼猜測的幾率是相當?shù)男〉摹＿@個令牌（你擁有的）和這個個人身份號碼（你知道的）結(jié)合起來之后，您只需要如通常那樣輸入這個個人密碼即可。當然，還有很多其他的方式去實現(xiàn)這種雙因素認證機制，比如基于軟件的認證者或者基于手機的一些認證系統(tǒng)。

另一方面，您也可以通過限制登錄嘗試的次數(shù)來降低網(wǎng)頁電子郵件帳號被暴力破解的危險(比如，在一分鐘之內(nèi)三次登錄失敗將會導致一次十五分鐘的系統(tǒng)鎖定)。這種方式可以有效地限制一個攻擊者進行攻擊時的猜測次數(shù)。同時，您還需要確保您擁有一個強口令規(guī)則，使得在這個規(guī)則下的密碼都很難通過一般的方法被猜測到進而被檢測到帳號信息。最后，如果您的系統(tǒng)存在一個密碼復位機制，還需要確保復位密碼時所使用的問題的答案的安全，即，它不應(yīng)該很容易就能夠通過一些公開的信息或者社會網(wǎng)絡(luò)來獲得。

【編輯推薦】

1. 信息安全防護 從保證電子郵件安全開始
2. 攜手打造安全網(wǎng)絡(luò)和電子郵件解決方案
3. 保證電子郵件安全的五個小竅門