キャプチャを除外する場合は、制限、ロックアウトなどを試してください...そうです。プレーンテキストの文字列を総当たり攻撃する必要があります。
ただし、これには時間がかかります -少なくとも、サーバーがログイン要求に応答する速度によって制限されます。開発者がブルートフォースを防ぐための対策を追加しなくても、サーバー自体は暗号化と検証のプロセスを非常に迅速に実行することしかできず、非常に多くの並列リクエストしか処理できません。
そうは言っても、これが重要な理由です
- ユーザーとして、強力でブルートフォース攻撃が難しいパスワードを使用します
- 開発者として、ログインプロセスのブルートフォースを防ぐための適切な対策を講じてください
パスワードのハッシュとソルトは、自然なログインプロセスを総当たり攻撃する人々から保護するためのものではありません(それを防ぐものは他にもあります)。代わりに、パスワードストレージ自体の潜在的な侵害(たとえば、誰かがデータベースのコンテンツをダンプする)から保護するためのものです。
ハッシュとソルトの両方が速度を低下させるのに役立ちます 保存されたパスワードにアクセスできる人が、(自分のサイトまたは他のサイトの)自然なログインプロセスを実行できるようにするために必要なプレーンテキストの文字列を取得できます。 、パスワードは一般的にサイト間で共有されるため、ブルートフォース対策のセキュリティ対策を講じることはありません。