暴力破解攻擊一度風(fēng)靡，利用自動(dòng)化的軟件，可獲得大量使用較弱口令的登錄賬戶，驗(yàn)證碼技術(shù)應(yīng)育而生，具備抗OCR(Optical Character Recognition，光學(xué)字符識(shí)別)能力的驗(yàn)證碼技術(shù)極大地削弱了自動(dòng)化暴力破解。網(wǎng)上銀行在進(jìn)行登錄暴力破解防御方面主要采用限制策略和驗(yàn)證碼技術(shù)兩類安全措施。針對(duì)指定賬戶的暴力破解是采用限制策略方式防范——超過允許的密碼錯(cuò)誤次數(shù)后，進(jìn)入鎖定狀態(tài)。各家銀行鎖定狀態(tài)持續(xù)時(shí)間不同，多數(shù)為次日自動(dòng)解鎖，也有少數(shù)銀行需要本人持有效證件到柜臺(tái)辦理。一旦賬戶鎖定對(duì)于急于使用網(wǎng)上銀行的用戶來說，次日自動(dòng)解鎖的時(shí)限也是無法接受的。限制策略解決了“針對(duì)指定賬戶的暴力破解”，驗(yàn)證碼主要是防范“同一弱口令，不同登錄賬號(hào)”的猜測(cè)攻擊。

通過我們的調(diào)研與分析認(rèn)為：由于限制策略和驗(yàn)證碼的使用，使暴力破解攻擊成功率大大降低，在成本遠(yuǎn)大于利益的現(xiàn)實(shí)面前，暴力破解攻擊事件正在逐步降低。同時(shí)，由于用戶的安全意識(shí)薄弱，少數(shù)銀行對(duì)密碼的要求不是十分嚴(yán)格，也造成了暴力破解攻擊一直持續(xù)不斷，仍不可忽視。我們相信：隨著網(wǎng)上銀行限制策略的不斷豐富、具備抗OCR能力的驗(yàn)證碼不斷完善，將會(huì)大大地削弱暴力破解攻擊，使網(wǎng)上銀行防護(hù)效果更好。