在暴力破解密码的过程中，黑客们是如何绕开试错次数的？ 第1页

很多人有个误区，就是黑客是和拿盾牌的网站正面肛的，某种意义上这是很幼稚的。

黑客的策略有两种：

一、万箭齐发，总有些SB网站是没有盾牌的，例如什么SQL注入啦，什么没有验证码啦，什么CSRF啦，什么管理员弱密码啦，什么高风险端口开放啦。一波扫下去总有一大批SB网站挂掉，捡漏就好了。至于那些有盾牌的网站，理他作甚？

二、迂回抄后，就像你说的这些防止暴力破解的方法。确实都有办法绕过去，但是，我费那么大劲干嘛？我直接登陆你服务器拖库不就好了……

做安全，做攻击，做防护，最幼稚的想法就是把目光集中在一点，没有之一……

暴力破解是最无脑最low最低级的攻击手段，网站做的这些防暴力破解的努力不是为了和黑客对抗，而是为了防止在黑客用第一种策略的时候就成了刺猬……

任何攻击都是有成本的，又不是世仇谁特么天天想着整你……做安全防护不是要把网站搞得铁桶一般，而是让黑客的攻击成本高于攻击收益。信息时代，黑客是个产业，产业是要赚钱的，不是以前那种情怀啊，牛逼啊，斗争啊，自我证明和实现啊，情怀黑客不是没有，而是遇上的概率比被雷劈中还小……

破解的过程中，把顺序反过来，用字典里的每一个密码去试所有用户。

这样就能避免一个用户频繁出现密码错误了。