什么是密碼噴灑攻擊

密碼噴灑攻擊針對許多不同的賬戶、服務和組織嘗試使用一個或兩個通用密碼，以此避免在單個賬戶上被檢測或鎖定。攻擊者使用這種方法避免超過設定的賬戶鎖定閾值，許多組織經常設置為輸錯三到五次就鎖住賬戶。只要在鎖定閾值內輸對密碼，攻擊者可以在整個組織成功嘗試多個密碼，不會被活動目錄中的默認保護機制阻止。攻擊者選擇最終用戶常用的密碼和數學公式來猜測密碼，或使用已在密碼泄露網站上公布的泄露密碼。

常見的防御方法有以下幾種：

• 使用驗證碼進行驗證登錄。

• 使用Token生成form_hash，然后驗證。

• 使用隨機數時，要確保用戶無法獲取隨機數生成算法。

• 身份驗證需要用戶憑短信、郵件接收驗證碼時，需要對驗證次數進行限制。

• 限制某時間段內驗證次數。

• 用戶在設置密碼時要求用戶使用特殊字符和字母數字組合，并限制最小長度。

回答所涉及的環境：聯想天逸510S、Windows 10。