Τι είναι μια επίθεση Brute-Force και πώς να την αποτρέψετε

What is a brute-force attack?

Όλοι πρέπει να λύσουμε τα CAPTCHA, αλλά σκεφτήκατε ποτέ ποιος είναι ο σκοπός αυτών των ενίοτε ενοχλητικών δοκιμασιών; Και τι σημαίνει CAPTCHA ούτως ή άλλως; Αυτό σημαίνει C ompletely Μια utomated ΔΗΜΟΣΙΑΣ Τ ατά τη διάρκεια της δοκιμής για να πει C Ηλεκτρονικοί υπολογιστές και ένα μέρος H umans, και ένας από τους κύριους στόχους του είναι να αποτρέψει την επιτυχή επιθέσεις ωμής βίας. Ώρα για μερικές ακόμα ερωτήσεις.

Τι είναι μια επίθεση βίαιης δύναμης;

Σκεφτείτε μια κλειδαριά συνδυασμού. Δεν γνωρίζετε τον τετραψήφιο κωδικό που ξεκλειδώνει, οπότε απλώς προσπαθήστε να το μαντέψετε. Ξεκινάτε με το "0000" και αν δεν λειτουργεί, δοκιμάστε "0001", "0002", "0003" κλπ. Μέχρι να φτάσετε στον συνδυασμό που ανοίγει το κλείδωμα. Αυτό, με απλά λόγια, είναι μια επίθεση βίαιης δύναμης και η ίδια αρχή μπορεί να εφαρμοστεί στους κωδικούς πρόσβασης.

Φυσικά, δεν είναι τόσο εύκολο όσο ακούγεται. Συνήθως, οι κωδικοί πρόσβασης αποτελούνται από περισσότερους από τέσσερις χαρακτήρες και συνήθως υπάρχουν γράμματα τα οποία, όπως θα ανακαλύψουμε σε ένα λεπτό, σημαίνει ότι ο αριθμός των πιθανών συνδυασμών είναι πολύ μεγαλύτερος. Συνολικά, μια επίθεση βίαιης δύναμης στην παραδοσιακή της μορφή δεν είναι ένας εξαιρετικά αποτελεσματικός τρόπος για να σπάσει κάποιος τον κωδικό πρόσβασης. Αυτός είναι ο λόγος για τον οποίο η εξέλιξη της επίθεσης της οξείας βίας που ονομάζεται επίθεση λεξικού είναι πολύ πιο συνηθισμένη στις μέρες μας.

Τι είναι μια επίθεση λεξικού;

Σε μια επίθεση λεξικού, οι χάκερ προσπαθούν ακόμα να μαντέψουν τον κωδικό πρόσβασης. Η διαφορά είναι ότι σε μια προσπάθεια βίαιης δύναμης, σκοπούνται στο σκοτάδι, ενώ εδώ, κάνουν εκπαιδευμένες εικασίες. Αυτή η επίθεση καθίσταται δυνατή από το γεγονός ότι οι χρήστες απλά δεν είναι πολύ καλοί με κωδικούς πρόσβασης.

Η αποθήκευση πολλών σύνθετων κωδικών πρόσβασης είναι δύσκολη και γι 'αυτό πολλοί άνθρωποι καταφεύγουν στην προστασία των λογαριασμών τους με απλές λέξεις όπως "κωδικό πρόσβασης" ή πρότυπα πληκτρολογίου όπως "qwerty". Με τη δημιουργία μακρών λιστών κωδικών πρόσβασης που χρησιμοποιούνται συνήθως, οι χάκερ έχουν πολύ περισσότερες πιθανότητες να μαντέψουν τον κωδικό πρόσβασης με πολύ λιγότερες προσπάθειες.

Offline και online επιθέσεις

Τόσο η παραδοσιακή επίθεση brute-force όσο και η ποικιλία λεξικών μπορούν να εκτελεστούν σε απευθείας σύνδεση ή εκτός σύνδεσης. Σε μια επίθεση στο διαδίκτυο, οι χάκερ προσπαθούν να μαντέψουν τον κωδικό πρόσβασης στη σελίδα σύνδεσης. Όταν είναι εκτός σύνδεσης, έχουν παραβιάσει τον πάροχο υπηρεσιών και έχουν κατεβάσει τη βάση δεδομένων που περιέχει τον κωδικό σας με κωδικό πρόσβασης. Μετά την τοπική αναδημιουργία του μηχανισμού κατακερματισμού, προσπαθούν να μαντέψουν τον κωδικό πρόσβασης χωρίς να συνδεθούν στη σελίδα σύνδεσης.

Πού έρχεται το CAPTCHA σε όλα αυτά;

Είναι ένας μηχανισμός για να σταματήσουμε τις online επιθέσεις βίαιης βίας και λεξικού. Όπως ίσως έχετε μαντέψει ήδη, οι επιτιθέμενοι δεν κάθονται μπροστά από ένα πληκτρολόγιο δοκιμάζοντας διαφορετικούς κωδικούς πρόσβασης μέχρι να εμφανιστεί στην οθόνη η ένδειξη "Access Granted". Χρησιμοποιούν αυτοματοποιημένα εργαλεία και λογισμικό και, όσο πιο εξελιγμένα είναι αυτά τα εργαλεία, δεν είναι σε θέση να επιλύσουν μια καλή δοκιμή CAPTCHA. Υπάρχουν συνήθως άλλες προφυλάξεις όπως ο περιορισμός του αριθμού των αποτυχημένων προσπαθειών σύνδεσης και η παρεμπόδιση των IP που δημιουργούν ύποπτη επισκεψιμότητα, αλλά η δοκιμή CAPTCHA είναι η απλούστερη λύση (αν και όχι εντελώς ξεκάθαρη).

Σε μια επίθεση εκτός σύνδεσης, ωστόσο, μια δοκιμή CAPTCHA είναι εντελώς άσχετη. Εκεί πρέπει να εισέλθετε.

Προστατεύστε τον εαυτό σας από επιθέσεις βίαιης βίας

Ο μόνος τρόπος για να βεβαιωθείτε ότι ο κωδικός σας δεν είναι επιρρεπής σε μια επίθεση λεξικού είναι να βεβαιωθείτε ότι δεν είναι στα λεξικά των χάκερ. Οποιαδήποτε πρότυπα πληκτρολογίου θα πρέπει να είναι εκτός ερώτησης, ακόμη και αν νομίζετε ότι δεν είναι εύκολο να μαντέψετε. Εάν ο κωδικός πρόσβασης είναι μια σημαντική λέξη, θα μπορούσατε να είστε ευάλωτοι επίσης. Μην ξεχνάτε ότι σε μια επίθεση εκτός σύνδεσης, οι χάκερς δεν χρειάζεται να ανησυχούν για να πιαστούν ή να εξαντληθούν οι προσπάθειες σύνδεσης, ώστε να μπορούν να φορτώσουν θεωρητικά ολόκληρο το λεξιλόγιο μιας γλώσσας και να περιμένουν να εμφανιστεί η σωστή λέξη. Μια τυχαία σειρά χαρακτήρων που δεν έχει νόημα όχι μόνο θα σας προστατεύσει από επιθέσεις με λεξικό, αλλά θα καταστήσει επίσης πολύ πιο σκληρές τις προσπάθειες βίας-βίας.

Ανάλογα με το μήκος και τον τύπο των χαρακτήρων που χρησιμοποιούνται, υπάρχει ένας πεπερασμένος αριθμός πιθανών συνδυασμών για κάθε κωδικό πρόσβασης. Για έναν τετραψήφιο αριθμητικό κώδικα, για παράδειγμα, έχετε συνολικά 10 χιλιάδες δυνατούς συνδυασμούς. Εάν προσθέσετε πεζά γράμματα στην εξίσωση, ωστόσο, πιέζετε αμέσως τον αριθμό σε σχεδόν 1,7 εκατομμύρια. Προσθέστε κεφαλαία γράμματα και κοιτάτε κοντά σε 14,8 εκατομμύρια συνδυασμούς.

Μπορεί να ακούγεται σαν πολλά, αλλά τα σύγχρονα εργαλεία διάσπασης κωδικού πρόσβασης θα περάσουν από όλους αυτούς τους συνδυασμούς σε δευτερόλεπτα και γι 'αυτό, εκτός από τη συνιστώμενη χρήση όσο το δυνατόν περισσότερων χαρακτήρων, οι ειδικοί λένε ότι ένας καλός κωδικός πρόσβασης είναι τουλάχιστον Μήκος 8 χαρακτήρων.

Κάποιοι από εσάς ίσως διαβάζετε αυτή τη σκέψη "πιο εύκολη από ό, τι γίνεται". Λοιπόν, εκτιμούμε ότι οι αποτυχημένες προσπάθειες βίαιης δύναμης δεν ήταν ποτέ απλούστερες. Με το Cyclonis Password Manager, η δημιουργία και η αποθήκευση πολλών ισχυρών κωδικών πρόσβασης είναι ένα αεράκι. Η αυτόματη γεννήτρια κωδικών θα δημιουργήσει τυχαίους κωδικούς πρόσβασης που αποτελούνται από αριθμούς, γράμματα και ειδικούς χαρακτήρες και εξαρτάται από εσάς να αποφασίσετε πόσο καιρό θέλετε να είναι. Δεν χρειάζεται να ανησυχείς για να τους θυμάσαι. Ο Διαχειριστής κωδικών Cyclonis θα τοποθετήσει όλους τους κωδικούς σας σε κρυπτογραφημένη θήκη, την οποία θα έχετε πρόσβαση μέσω του κύριου κωδικού πρόσβασης.

January 13, 2020

Αφήστε μια απάντηση