Reklama
Jeśli czytasz nasze artykuły dotyczące bezpieczeństwa regularnie - tak jak ten testowanie siły hasła Sprawdź swoją siłę hasła przy użyciu tego samego narzędzia hakerówCzy twoje hasło jest bezpieczne? Narzędzia oceniające siłę hasła mają słabą dokładność, co oznacza, że jedynym sposobem na naprawdę przetestowanie hasła jest próba jego złamania. Zobaczmy jak. Czytaj więcej - prawdopodobnie słyszałeś wyrażenie „atak brutalnej siły”. Ale co to dokładnie znaczy? Jak to działa? Jak możesz się przed tym uchronić? Oto, co musisz wiedzieć.
Ataki Brute Force: podstawy
Jeśli chodzi o to, atak brutalną siłą jest naprawdę prosty: program komputerowy próbuje zgadnąć hasło lub klucz szyfrujący, iterując wszystkie możliwe kombinacje określonej liczby postacie. Załóżmy na przykład, że napisałeś aplikację, która próbowała brutalnie wymusić czterocyfrowe hasło do iPhone'a. Może zgadnąć 1111, potem 1112, następnie 1113, 1114, 1115 i tak dalej, aż dotrze do 9999.
Tę samą zasadę można zastosować w przypadku bardziej skomplikowanych haseł. Algorytm brutalnej siły może zacząć od aaaaaa, aaaaab, aaaaaac, a następnie przejść do rzeczy takich jak aabaa1, aabaa2, aabaa3 i tak dalej, poprzez wszystkie sześcioznakowe kombinacje cyfr i liter, aż do zzzzzz, zzzzz1 i poza.
Istnieje również technika znana jako atak odwrotnej siły brutalnej, w której jedno hasło jest wypróbowywane wobec wielu różnych nazw użytkowników. Jest to mniej powszechne i trudniejsze do skutecznego zastosowania, ale omija niektóre typowe środki zaradcze.
Jak widać, jest to raczej nieelegancki sposób odgadnięcia hasła. Teoretycznie jednak, jeśli masz wystarczającą moc obliczeniową i energię, możesz odgadnąć dowolne hasło. Ale jeśli używasz czegoś innego niż krótkie, proste hasło, nie masz się czym martwić, ponieważ ilość moc obliczeniowa potrzebna do odgadnięcia dłuższego hasła wymagałaby ogromnej ilości energii i zajęłaby lata kompletny.
Zaawansowane ataki brutalnej siły
Ponieważ ataki typu brute force na cokolwiek poza bardzo prostymi hasłami są żałośnie nieefektywne i czasochłonne, hakerzy wymyślili pewne narzędzia, które zwiększają ich skuteczność.
Na przykład atak słownikowy nie polega tylko na iteracji wszystkich możliwych kombinacji znaków; wykorzystuje słowa, liczby lub ciągi znaków ze wstępnie skompilowanej listy, którą haker uważa za przynajmniej nieco większe niż przeciętnie prawdopodobieństwo pojawienia się w haśle (jest to rodzaj ataku, z którym można przeprowadzić rzetelnie prosty oprogramowanie do testowania penetracji sieci Jak sprawdzić bezpieczeństwo sieci domowej za pomocą bezpłatnych narzędzi hakerskichŻaden system nie może być całkowicie „odporny na włamanie”, ale testy bezpieczeństwa przeglądarki i zabezpieczenia sieci mogą uczynić twoją konfigurację bardziej niezawodną. Skorzystaj z tych bezpłatnych narzędzi, aby zidentyfikować „słabe punkty” w sieci domowej. Czytaj więcej ).
Na przykład atak słownikowy może wypróbować wiele typowych haseł przed przejściem do standardowego ataku typu brute force, takiego jak „hasło”, „moje hasło”, „letmein” i tak dalej. Lub może dodać „2016” na końcu wszystkich haseł, które próbuje przed przejściem do następnego hasła.
Istnieją różne metody użycia ataków siłowych, ale wszystkie polegają na wypróbowaniu dużej liczby haseł tak szybko, jak to możliwe, aż do znalezienia właściwego. Niektóre wymagają większej mocy obliczeniowej, ale oszczędzają czas; niektóre są szybsze, ale wymagają większej ilości pamięci do użycia podczas ataku.
Gdzie ataki brutalnej siły są niebezpieczne
Ataki Brute Force można stosować na wszystko, co ma hasło lub klucz szyfrujący, ale w wielu miejscach można je zastosować, wprowadzając wobec nich skuteczne środki zaradcze (jak zobaczymy w następnej sekcji).
Jesteś najbardziej zagrożony atakiem brutalnej siły, jeśli stracisz swoje dane i haker je przejmie - raz to na ich komputerze, niektóre z zabezpieczeń na twoim komputerze lub w Internecie mogą być obchodzone.
W jaki sposób złoczyńca może przenieść twoje dane na swój komputer? Możesz stracić pamięć flash, może pozostawiając ją w kieszeni ubrania, które wysłałeś do pralni chemicznej, takiej jak Znaleziono 4500 dysków flash w 2009 roku w Wielkiej Brytanii. Lub, podobnie jak inne 12 500 znalezionych urządzeń, możesz zostawić telefon lub laptop w taksówce. To łatwa rzecz do zrobienia.
A może ktoś był w stanie pobrać coś z usługi w chmurze, ponieważ udostępniasz plik niepewny skrócony link Czy skrócone linki zagrażają Twojemu bezpieczeństwu?Ostatnie badanie wykazało, że wygoda korzystania ze skracaczy URL, takich jak bit.ly i goo.gl, może stanowić poważne zagrożenie dla twojego bezpieczeństwa. Czy nadszedł czas, aby zamknąć narzędzia do skracania adresów URL? Czytaj więcej . A może zostałeś trafiony oprogramowaniem ransomware, które nie tylko zablokowało komputer, ale także ukradło niektóre twoje pliki.
Chodzi o to, że ataki typu brute force nie są skuteczne w niektórych miejscach, ale istnieje wiele sposobów, w jakie można je wdrożyć przeciwko twoim danym. Najlepszym sposobem, aby zapobiec przedostawaniu się danych na komputer hakera, jest dokładne śledzenie położenia urządzeń (zwłaszcza dysków flash!).
Ochrona przed atakami brutalnej siły
Istnieje wiele mechanizmów obronnych, z których strony internetowe lub aplikacje mogą korzystać przed atakami siłowymi. Jednym z najprostszych i najczęściej używanych jest blokada: jeśli wpiszesz nieprawidłowe hasło pewne wiele razy konto zostaje zablokowane i musisz skontaktować się z obsługą klienta lub działem IT departament. To powstrzymuje atak brutalnej siły.
Podobną taktykę można zastosować z Wyzwanie CAPTCHA Wszystko, co kiedykolwiek chciałeś wiedzieć o CAPTCHA, ale bałeś się zapytać [Technologia wyjaśniona]Kochaj ich lub nienawidź - CAPTCHA stały się wszechobecne w Internecie. Czym, u diabła, jest CAPTCHA i skąd się wziął? Odpowiedzialny za zmęczenie oczu na całym świecie, skromny CAPTCHA ... Czytaj więcej lub inne podobne zadania. Żadna z tych metod nie będzie działać przeciwko odwrotnemu atakowi siłowemu, ponieważ nie powiedzie się test hasła tylko raz dla każdego konta.
Inną metodą, którą można zastosować, aby zapobiec takim atakom (zarówno standardowym, jak i odwrotnym) jest uwierzytelnianie dwuskładnikowe Co to jest uwierzytelnianie dwuskładnikowe i dlaczego warto z niego korzystaćUwierzytelnianie dwuskładnikowe (2FA) to metoda bezpieczeństwa, która wymaga dwóch różnych sposobów potwierdzenia tożsamości. Jest powszechnie stosowany w życiu codziennym. Na przykład płacenie kartą kredytową wymaga nie tylko karty, ... Czytaj więcej (2FA); nawet jeśli haker odgadnie właściwe hasło, wymóg podania innego kodu lub danych wejściowych zatrzyma atak, nawet jeśli odgadnie prawidłowe hasło. Na szczęście jest coraz więcej usług zawierający 2FA Zablokuj teraz te usługi za pomocą uwierzytelniania dwuskładnikowegoUwierzytelnianie dwuskładnikowe to inteligentny sposób ochrony kont internetowych. Rzućmy okiem na kilka usług, które możesz zablokować z większym bezpieczeństwem. Czytaj więcej do swoich systemów. To może być kłopotem Czy weryfikacja dwuetapowa może być mniej irytująca? Cztery tajne hacki gwarantowane w celu poprawy bezpieczeństwaCzy chcesz mieć zabezpieczone konto kuloodporne? Zdecydowanie sugeruję włączenie uwierzytelniania „dwuskładnikowego”. Czytaj więcej , ale ochroni cię przed wieloma atakami.
Warto zauważyć, że chociaż taktyki te świetnie nadają się do unikania ataków siłowych, mogą być również używane do atakowania witryny na inne sposoby. Na przykład, jeśli brutalna siła zostanie przeprowadzona przeciwko witrynie blokującej konta po pięciu błędnych próbach, ich zespół obsługi klienta może zostać zalany połączeniami, co spowolni działanie witryny. Może być również stosowany jako część rozproszony atak typu „odmowa usługi” Co to jest atak DDoS? [MakeUseOf wyjaśnia]Termin DDoS gwiżdże w przeszłości, ilekroć cyberaktywizm zbiera się w głowie. Tego rodzaju ataki pojawiają się w nagłówkach międzynarodowych z wielu powodów. Problemy, które przyspieszają te ataki DDoS, są często kontrowersyjne lub bardzo ... Czytaj więcej .
Zdecydowanie najłatwiejszym sposobem zabezpieczenia się przed atakiem siłowym jest użycie długiego hasła. Wraz ze wzrostem długości hasła moc obliczeniowa wymagana do odgadnięcia wszystkich możliwych kombinacji znaków rośnie bardzo szybko. W artykule na temat zagrożeń bezpieczeństwa skracaczy URL badacze wykazali, jak łatwo zgadnąć tokeny pięcio-, sześcio- i siedmioznakowe, ale tokeny 11- i 12-znakowe były prawie niemożliwe.
Możesz zastosować tę samą logikę do swoich haseł. Używaj silnych haseł 6 porad dotyczących tworzenia niezłomnego hasła, które można zapamiętaćJeśli twoje hasła nie są unikalne i nie do złamania, równie dobrze możesz otworzyć drzwi wejściowe i zaprosić złodziei na lunch. Czytaj więcej , a będziesz prawie odporny na ataki brutalnej siły.
Zaskakująco skuteczny atak
Jak to proste i nieeleganckie - w końcu nazywa się to „brutalną siłą” - ten rodzaj ataku może być zaskakująco skuteczny w uzyskiwaniu dostępu do obszarów chronionych hasłem i szyfrowanych. Ale teraz, kiedy wiesz, jak działa atak i jak możesz się przed nim zabezpieczyć, nie powinieneś się martwić!
Czy korzystasz z uwierzytelniania dwuskładnikowego? Czy znasz inne dobre sposoby obrony przed atakami brutalnej siły? Podziel się swoimi przemyśleniami i wskazówkami poniżej!
Kredyty obrazkowe: TungCheung przez Shutterstock, cunaplus przez Shutterstock.
Dann jest konsultantem ds. Strategii i marketingu treści, który pomaga firmom generować popyt i potencjalnych klientów. Bloguje także na temat strategii i content marketingu na dannalbright.com.
