暴力破解攻擊一度風(fēng)靡，利用自動化的軟件，可獲得大量使用較弱口令的登錄賬戶，驗證碼技術(shù)應(yīng)育而生，具備抗OCR(Optical Character Recognition，光學(xué)字符識別)能力的驗證碼技術(shù)極大地削弱了自動化暴力破解。網(wǎng)上銀行在進(jìn)行登錄暴力破解防御方面主要采用限制策略和驗證碼技術(shù)兩類安全措施。針對指定賬戶的暴力破解是采用限制策略方式防范——超過允許的密碼錯誤次數(shù)后，進(jìn)入鎖定狀態(tài)。各家銀行鎖定狀態(tài)持續(xù)時間不同，多數(shù)為次日自動解鎖，也有少數(shù)銀行需要本人持有效證件到柜臺辦理。一旦賬戶鎖定對于急于使用網(wǎng)上銀行的用戶來說，次日自動解鎖的時限也是無法接受的。限制策略解決了“針對指定賬戶的暴力破解”，驗證碼主要是防范“同一弱口令，不同登錄賬號”的猜測攻擊。

通過我們的調(diào)研與分析認(rèn)為：由于限制策略和驗證碼的使用，使暴力破解攻擊成功率大大降低，在成本遠(yuǎn)大于利益的現(xiàn)實面前，暴力破解攻擊事件正在逐步降低。同時，由于用戶的安全意識薄弱，少數(shù)銀行對密碼的要求不是十分嚴(yán)格，也造成了暴力破解攻擊一直持續(xù)不斷，仍不可忽視。我們相信：隨著網(wǎng)上銀行限制策略的不斷豐富、具備抗OCR能力的驗證碼不斷完善，將會大大地削弱暴力破解攻擊，使網(wǎng)上銀行防護(hù)效果更好。