Mi az a brute-force támadás és hogyan lehet megakadályozni?

What is a brute-force attack?

Mindannyiunknak meg kell oldaniuk a CAPTCHA-kat időnként, de gondolkodtál már azon, mi ezeknek a néha idegesítő teszteknek a célja? És mit is jelent a CAPTCHA? Ez áll a C ompletely A utomated P ublic T uring teszt mondani C omputers és H umans egy része, és egyik fő célja, hogy megakadályozza a sikeres brute-force támadások ellen. Ideje még néhány kérdésre.

Mi a brute-force támadás?

Gondolj egy kombinált zárra. Nem ismeri a felfedezésre váró négyjegyű kódot, ezért csak megpróbálja kitalálni. A "0000" számmal kezdődik, és ha nem működik, akkor próbálja meg a "0001", "0002", "0003" stb., Amíg el nem éri a kombinációt, amely megnyitja a zárat. Ez egyszerűen véve erőszakos támadás, és ugyanez az elv alkalmazható a jelszavakra is.

Természetesen ez nem olyan egyszerű, mint amilyennek hangzik. A jelszavak általában több mint négy karakterből állnak, és általában benne vannak betűk, amelyek - amint egy perc alatt megtudjuk - azt jelenti, hogy a lehetséges kombinációk száma sokkal nagyobb. Mindent összevetve: a brutális erőszakos támadás a hagyományos formájában nem egy briliánsan hatékony módszer a jelszó megtörésére. Ezért manapság sokkal gyakoribb a szótár-támadásnak nevezett brute-force támadás evolúciója.

Mi a szótár támadás?

Egy szótár támadás során a hackerek továbbra is megpróbálják kitalálni a jelszót. A különbség az, hogy brutális erőszakos kísérlet közben sötétben lőnek, miközben itt oktatott kitalálásokat készítenek. Ezt a támadást lehetővé teszi az a tény, hogy a felhasználók egyszerűen nem nagyon jóak a jelszavakkal.

A többszörös összetett jelszavak megjegyzése nehéz, ezért sok ember a számlák egyszerű szavakkal, például a „jelszó” vagy a billentyűzetmintákkal, például a „qwerty” védelmével foglalkozik. Az általánosan használt jelszavak hosszú listáinak összeállítása révén a hackerek sokkal kevésbé próbálják kitalálni a jelszót.

Offline és online támadások

A hagyományos brutális erőszakos támadás és a szótár változat is online vagy offline is végrehajtható. Online támadás esetén a hackerek megpróbálják kitalálni a jelszót a bejelentkezési oldalon. Offline állapotban megsértették a szolgáltatót, és letöltötték az adatbázisát, amely tartalmazza az Ön kivonatjelszavát. A hash mechanizmus helyreállítása után megpróbálják kitalálni a jelszót anélkül, hogy csatlakoznának a bejelentkezési oldalhoz.

Hol van a CAPTCHA mindez?

Ez egy mechanizmus az online brute-force és szótár támadások megállításához. Mint azt már kitalálhatta, a támadók nem ülnek a billentyűzet előtt, és különféle jelszavakat kipróbálnak, amíg a "Hozzáférés megadva" felirat meg nem jelenik a képernyőn. Automatizált eszközöket és szoftvereket használnak, és bármennyire is kifinomultak, nem képesek jó CAPTCHA tesztet megoldani. Általában vannak más óvintézkedések, például a sikertelen bejelentkezési kísérletek korlátozása és a gyanús forgalmat generáló IP-k blokkolása, ám a CAPTCHA teszt a legegyszerűbb (bár nem teljesen bolondbiztos) megoldás.

Offline támadás esetén azonban a CAPTCHA teszt teljesen irreleváns. Itt kell belépnie.

Védje magát a brute-force támadásoktól

Az egyetlen módszer annak biztosítására, hogy jelszava ne legyen érzékeny a szótár támadására, annak ellenőrzése, hogy nem szerepel-e a hackerek szótáraiben. Minden billentyűzetmintát ki kell zárni, még akkor is, ha úgy gondolja, hogy nem könnyű kitalálni. Ha a jelszó értelmes szó, akkor is kiszolgáltatott lehet. Ne felejtse el, hogy offline támadás esetén a hackereknek nem kell attól tartaniuk, hogy elkapnak vagy bejelentkezési kísérletek elfogynak, így elméletileg betölteni tudják egy nyelv teljes szókincsét, és várni, amíg a megfelelő szó megjelenik. A véletlenszerű karaktersor, amelynek nincs értelme, nem csak a szótár támadásaitól védi meg, hanem jelentősen megnehezíti a brute-force kísérleteket is.

A használt karakterek hosszától és típusától függően minden jelszóhoz véges számú lehetséges kombináció létezik. Például egy négy karakterből álló numerikus kódhoz összesen 10 ezer lehetséges kombináció van. Ha azonban az egyenlethez kisbetűket ad hozzá, akkor a számot azonnal hozzávetőleg 1,7 millióra növeli. Adjon hozzá nagybetűket, és közel 14,8 millió kombinációt keres.

Sokkal hangzik, de a modern jelszó-töréses eszközök másodpercek alatt átjutnak ezekbe a kombinációkba, ezért a lehető legszélesebb karakterkészlet használatának ajánlása mellett a szakértők azt is mondják, hogy a jó jelszó legalább 8 karakter hosszú.

Lehet, hogy néhányan ezt a gondolkodást "könnyebben mondani, mint megtenni" olvassa. Nos, úgy gondoljuk, hogy a brutális erőszakos kísérletek megtévesztése soha nem volt ilyen egyszerű. A Cyclonis Password Manager segítségével több erős jelszó létrehozása és tárolása is szellő. Az automatikus jelszógenerátor véletlenszerű jelszavakat hoz létre, amelyek számokból, betűkből és speciális karakterekből állnak, és Ön dönti el, hogy mennyi ideig kívánja őket. Nem kell attól tartania, hogy emlékszik rájuk. A Cyclonis Password Manager az összes jelszavát titkosított tárolóba helyezi, amelyhez a fő jelszavával férhet hozzá.

January 13, 2020

Válaszolj