Hvad er et brute-force-angreb, og hvordan man forhindrer det
Vi er alle nødt til at løse CAPTCHA'er nu og da, men har du nogensinde tænkt over, hvad formålet med disse undertiden irriterende tests er? Og hvad betyder CAPTCHA alligevel? Det står for C ompletely En overdated P ublic T uring test for at fortælle C omputere og H umans A del, og et af dets hovedmål er at forhindre vellykkede brute-force-angreb. Tid til nogle flere spørgsmål.
Table of Contents
Hvad er et brute-force-angreb?
Tænk på en kombinationslås. Du kender ikke den firecifrede kode, der låser den op, så du prøver bare at gætte den. Du starter med "0000", og hvis det ikke fungerer, prøv "0001", "0002", "0003" osv., Indtil du når kombinationen, der åbner låsen. Dette er simpelt set et brute-force-angreb, og det samme princip kan anvendes på adgangskoder.
Selvfølgelig er det ikke så let, som det lyder. Adgangskoder består typisk af mere end fire tegn, og der er normalt bogstaver i dem, som, som vi finder ud af om et minut, betyder, at antallet af mulige kombinationer er meget højere. Alt i alt er et brute-force-angreb i sin traditionelle form ikke en strålende effektiv måde at bryde et kodeord på. Derfor er en udvikling af det brute-force-angreb kaldet et ordbogangreb meget mere almindeligt i dag.
Hvad er et ordbogangreb?
I et ordbogangreb forsøger hackere stadig at gætte adgangskoden. Forskellen er, at de i et brute-force forsøg skyder i mørke, mens de her er ved at uddanne gætte. Dette angreb er muliggjort af det faktum, at brugerne simpelthen ikke er særlig gode med adgangskoder.
Det er svært at huske flere komplekse adgangskoder, hvorfor mange mennesker tyr til at beskytte deres konti med enkle ord som "password" eller tastaturmønstre som "qwerty". Ved at sammensætte lange lister med almindeligt anvendte adgangskoder er hackere meget mere tilbøjelige til at gætte adgangskoden med langt færre forsøg.
Offline og online angreb
Både det traditionelle brute-force-angreb og ordboksorten kan udføres online eller offline. I et online-angreb forsøger hackerne at gætte adgangskoden på login-siden. Når de er offline, har de brudt tjenesteudbyderen og har downloadet databasen, der indeholder dit hashede adgangskode. Når de lokalt har gendannet hashmekanismen, prøver de at gætte adgangskoden uden at oprette forbindelse til login-siden.
Hvor kommer CAPTCHA ind i alt dette?
Det er en mekanisme til at stoppe online brute-force og ordbog angreb. Som du måske allerede har gættet, sidder angriberen ikke foran et tastatur og prøver forskellige adgangskoder, før "Access Granted" vises på skærmen. De bruger automatiserede værktøjer og software, og så sofistikerede som disse værktøjer er, er de ikke i stand til at løse en god CAPTCHA-test. Der er normalt andre forholdsregler, såsom grænser for antallet af mislykkede loginforsøg og blokerende IP'er, der genererer mistænkelig trafik, men en CAPTCHA-test er den enkleste (dog ikke helt idiotsikre) løsning.
I et offline angreb er en CAPTCHA-test imidlertid fuldstændig irrelevant. Det er her du har brug for at træde ind.
Beskyt dig selv mod brute-force-angreb
Den eneste måde at sikre, at din adgangskode ikke er modtagelig for et ordbogangreb, er at sikre dig, at den ikke findes i hackernes ordbøger. Eventuelle tastaturmønstre skal være ude af spørgsmålet, selvom du mener, at de ikke er lette at gætte. Hvis adgangskoden er et meningsfuldt ord, kan du også være sårbar. Glem ikke, at hackere i et offline angreb ikke behøver at bekymre sig om at blive fanget eller løbe tør for loginforsøg, så de teoretisk kan indlæse et sprogs hele ordforråd og vente på, at det rigtige ord kommer frem. En tilfældig streng med tegn, der ikke giver mening, vil ikke kun beskytte dig mod ordbogangreb, det vil også gøre forsøg på brute-force væsentligt sværere.
Afhængigt af længden og typen af anvendte tegn er der et begrænset antal mulige kombinationer for hver enkelt adgangskode. For en fire-karakter numerisk kode har du for eksempel i alt 10.000 mulige kombinationer. Hvis du tilføjer små bogstaver til ligningen, skubber du imidlertid straks tallet op til næsten 1,7 millioner. Tilføj store bogstaver, og du ser på næsten 14,8 millioner kombinationer.
Det lyder måske meget, men moderne adgangskodekrackningsværktøjer vil gennemgå alle disse kombinationer på få sekunder, hvorfor eksperter, udover at anbefale brugen af et så bredt udvalg af tegn som muligt, også siger, at en god adgangskode er mindst 8 tegn lange.
Nogle af jer læser måske denne tænkning "lettere sagt end gjort". Vi regner med, at afværge forsøg på brute-styrke aldrig har været enklere. Med Cyclonis Password Manager er oprettelse og opbevaring af flere stærke adgangskoder en leg. Den automatiske adgangskodegenerator opretter tilfældige adgangskoder, der består af tal, bogstaver og specialtegn, og det er op til dig at bestemme, hvor længe du vil have dem. Du behøver heller ikke bekymre dig om at huske dem. Cyclonis Password Manager lægger alle dine adgangskoder i et krypteret hvælvelse, som du kan få adgang til via din hovedadgangskode.