月黑風高之夜,壹個小偷拿著從倉庫管理員那兒偷來的壹串鑰匙,躲過崗哨摸到庫房,看著庫房大門掛著的大鎖,哪壹把鑰匙才能打開門呢?顯然最直接的方法就是壹把壹把的試,直到打開為止,或者所有鑰匙都打不開,無功而返。
這件事兒對小偷來說略顯機械枯燥,而且時間拖久了還有被抓的危險。可這樣的重復勞動正適合計算機幹——對了,這種方法就是網絡安全領域裏“字典攻擊”的原型。
當黑客試圖進入目標系統時被告知需要提供口令,而他對此並不知曉(正如上面那位小偷並不確定鑰匙是哪壹把),他可以采用這樣的方法:將收藏的備選口令集(這個口令集可能包含著成千上萬個備選口令)輸入到他的程序中,依次向目標系統發起認證請求,直到某壹個口令可以通過認證——或者所有這些口令均無效,宣告此方法失敗並結束本次入侵行為(或者繼續查找系統有無別的弱點)。