通常の「総当たり攻撃」(ブルートフォース攻撃)は特定のアカウントのパスワードなどを力任せに解読する手法で、パスワードとして考えられる文字の組み合わせをすべて生成し、正解に行き当たるまで順番にログインを試みる。
リバースブルートフォース攻撃はこれとは逆に、何らかの方法で入手した実在のアカウント名のリストを使用して、少数の覚えやすく他人が推測しやすい単純なパスワード候補(「123456」「qwerty」「password」など)により各アカウントに順番にログインを試みる。リストの中にそのような単純なパスワードを設定している利用者がいれば、そのアカウントを乗っ取ることができる。
総当たり攻撃は「3回失敗したら1時間ログイン不可」といったように各アカウントのログイン試行回数に制限を設けることで防げるが、リバースブルートフォース攻撃はそのような単純な手法で検知や防御を行なうことが難しいという特徴がある。
この手法は「そのシステムの利用者であれば誰でも良いので乗っ取りたい」という場合に利用可能で、ある特定のアカウントのパスワードを割り出すことはできない。また、少数の限られた利用者しかいないシステムでは成功確率が極めて低く、利用者の多いネットサービスなどに適した手法である。
