暴力破解攻击一度风靡,利用自动化的软件,可获得大量使用较弱口令的登录账户,验证码技术应育而生,具备抗OCR(Optical Character Recognition,光学字符识别)能力的验证码技术极大地削弱了自动化暴力破解。网上银行在进行登录暴力破解防御方面主要采用限制策略和验证码技术两类安全措施。针对指定账户的暴力破解是采用限制策略方式防范——超过允许的密码错误次数后,进入锁定状态。各家银行锁定状态持续时间不同,多数为次日自动解锁,也有少数银行需要本人持有效证件到柜台办理。一旦账户锁定对于急于使用网上银行的用户来说,次日自动解锁的时限也是无法接受的。限制策略解决了“针对指定账户的暴力破解”,验证码主要是防范“同一弱口令,不同登录账号”的猜测攻击。
通过我们的调研与分析认为:由于限制策略和验证码的使用,使暴力破解攻击成功率大大降低,在成本远大于利益的现实面前,暴力破解攻击事件正在逐步降低。同时,由于用户的安全意识薄弱,少数银行对密码的要求不是十分严格,也造成了暴力破解攻击一直持续不断,仍不可忽视。我们相信:随着网上银行限制策略的不断丰富、具备抗OCR能力的验证码不断完善,将会大大地削弱暴力破解攻击,使网上银行防护效果更好。
