掩码攻击与字典攻击有何区别？

在密码安全领域，攻击者手中最常用的两把“钥匙”莫过于字典攻击和掩码攻击。很多刚接触安全测试的朋友容易把它们混为一谈，觉得都是“试密码”。其实，这两者的底层逻辑、适用场景和攻击效率天差地别。弄懂它们的区别，不仅能让你更有效地进行安全评估，也能反过来提醒你如何设置一个真正难啃的“硬骨头”。

核心差异：已知模式 vs. 穷举排列

这种差异有点像“按图索骥”和“排列组合”。字典攻击，本质上是基于一个预设的、有限的密码列表（字典文件）进行尝试。这个列表可能包含成千上万个常用密码、泄露的密码、单词变体或简单的键盘组合（如“qwerty”、“123456”）。它的攻击有效性完全依赖于目标密码是否恰好躺在这个“黑名单”里。如果用户的密码是“MyCatFluffy2023!”这种个性化组合，且未被收录到任何公开字典中，那么再庞大的字典也可能无功而返。

掩码攻击：为暴力破解戴上“智能眼镜”

掩码攻击则不同，它是一种“智能化的暴力破解”。它不依赖现成的密码列表，而是依赖攻击者对密码结构（或称“模式”）的猜测。比如，你通过社会工程学了解到某公司强制要求密码格式为“首字母大写+6位小写字母+2位数字”，那么你就可以将这个知识转化为一个掩码：?u?l?l?l?l?l?l?d?d。这里的?u代表一个大写字母，?l代表一个小写字母，?d代表一个数字。工具会根据这个掩码，自动生成并尝试所有符合该模式的可能组合。

一个效率的对比实验

假设一个简单的四位纯数字PIN码（如“2580”）。

• 字典攻击：你需要一个包含“0000”到“9999”所有一万种可能性的“数字字典”。如果字典里没有，或者只包含生日片段，你就猜不中。它的搜索空间就是字典文件的大小。
• 掩码攻击：你只需要告诉工具掩码是?d?d?d?d。工具会从“0000”开始，系统性地递增尝试到“9999”。它的搜索空间是精确的10^4 = 10000次尝试，一次都不会漏。

在这个例子中，掩码攻击更直接、更完备。但对于一个像“P@ssw0rd”这样的复杂密码，如果它已经在所有常用字典里，那么字典攻击可能瞬间命中；而如果不知道其结构，用掩码攻击去覆盖所有8位字符（大小写字母、数字、符号）的组合，那将是一个天文数字，在实际中不可行。

实战中的选择：先“巧取”还是先“强攻”？

在真实的渗透测试或密码恢复场景中，策略通常是分层的，并且高度依赖于对目标的了解程度。

• 第一步永远是字典攻击。用精心搜集的、针对性的字典（比如公司名、产品名、当地常见词汇组合）去“碰运气”。这就像先用万能钥匙试试看，成本极低，速度极快。根据Verizon等机构的年度数据泄露报告，超过80%的成功入侵都利用了弱密码或泄露的密码，字典攻击正是利用这一人性弱点。
• 如果字典攻击失败，但你对密码策略有线索（例如，从注册页面提示、员工手册或历史泄露中得知密码格式），就该掩码攻击登场了。结合“增量模式”（从短密码尝试到长密码），它能将纯粹的暴力破解从“大海捞针”变为“在有限的池塘里钓鱼”。
• 最后，如果毫无头绪，才会考虑完全的暴力破解，但那通常是计算资源和时间的无底洞。

所以，下次当你评估一个系统的密码强度时，不妨问问自己：它能抵御多大规模的字典攻击？它的密码策略是否容易被归纳成一个简单的掩码？一个健壮的策略，应该同时让这两种攻击都望而却步——密码既不在任何常用字典中，其结构也无明显规律可循，长度也足以让掩码攻击的搜索空间爆炸。这才是安全与便利之间，那道真正坚固的防线。