Hva er et brute-force angrep og hvordan du kan forhindre det
Vi trenger alle å løse CAPTCHAer nå og da, men har du noen gang tenkt hva formålet med disse noen ganger irriterende testene er? Og hva betyr CAPTCHA likevel? Den står for Completely Automated Public Turing test to tell Computers and Humans Apart, og et av hovedmålene er å forhindre vellykkede brute-force-angrep. På tide med noen flere spørsmål.
Table of Contents
Hva er et brute-force angrep?
Tenk på en kombinasjonslås. Du kjenner ikke den firesifrede koden som låser opp den, så du prøver bare å gjette den. Du starter med "0000", og hvis det ikke fungerer, prøver du "0001", "0002", "0003" osv. Til du kommer til kombinasjonen som åpner låsen. Dette er i enkle vendinger et angrep med brute-force, og det samme prinsippet kan brukes på passord.
Selvfølgelig er det ikke så enkelt som det høres ut. Vanligvis består passord av mer enn fire tegn, og det er vanligvis bokstaver i dem, som vi vil finne ut om et minutt, betyr at antall mulige kombinasjoner er mye høyere. Alt i alt er et brute-force-angrep i sin tradisjonelle form ikke en strålende effektiv måte å knekke et passord på. Derfor er en utvikling av brute-force-angrepet kalt et ordbokangrep mye mer vanlig i dag.
Hva er et ordbokangrep?
I et ordbokangrep prøver hackere fortsatt å gjette passordet. Forskjellen er at de i et brute-force forsøk skyter i mørket mens de her gjør utdannede gjetninger. Dette angrepet er muliggjort av det faktum at brukerne rett og slett ikke er veldig gode med passord.
Å huske flere komplekse passord er vanskelig, og det er grunnen til at mange tyr til å beskytte kontoene sine med enkle ord som "passord" eller tastaturmønstre som "qwerty". Ved å sette sammen lange lister med ofte brukte passord, er det mye mer sannsynlig at hackere gjetter passordet med langt færre forsøk.
Offline og online angrep
Både det tradisjonelle angrepet mot brute-force og ordboken kan utføres online eller offline. I et nettangrep prøver hackerne å gjette passordet på innloggingssiden. Når de er frakoblet, har de brutt tjenesteleverandøren og lastet ned databasen som inneholder det hashede passordet ditt. Etter å ha gjenskapt hasjemekanismen lokalt, prøver de å gjette passordet uten å koble seg til påloggingssiden.
Hvor kommer CAPTCHA inn i alt dette?
Det er en mekanisme for å stoppe angrep mot brute-force og ordbøker på nettet. Som du kanskje har gjettet allerede, sitter ikke angriperne foran et tastatur og prøver ut forskjellige passord før "Access Granted" vises på skjermen. De bruker automatiserte verktøy og programvare, og så sofistikerte som disse verktøyene er, er de ikke i stand til å løse en god CAPTCHA-test. Det er vanligvis andre forholdsregler som grenser for antall mislykkede påloggingsforsøk og blokkering av IP-er som genererer mistenkelig trafikk, men en CAPTCHA-test er den enkleste (men ikke helt idiotsikre) løsningen.
I et offline angrep er imidlertid en CAPTCHA-test helt irrelevant. Det er der du trenger å gå inn.
Beskytt deg mot angrep fra brute-force
Den eneste måten å sikre at passordet ditt ikke er mottakelig for et ordboksangrep, er å sørge for at det ikke er i hackernes ordbøker. Eventuelle tastaturmønstre bør være uaktuelt, selv om du tror at de ikke er lette å gjette. Hvis passordet er et meningsfylt ord, kan du også være sårbar. Ikke glem at i et offline angrep trenger ikke hackerne å bekymre seg for å bli fanget eller gå tom for påloggingsforsøk, slik at de teoretisk kan laste inn et språk hele ordforrådet og vente på at det rette ordet kommer opp. En tilfeldig streng med karakterer som ikke gir mening, vil ikke bare beskytte deg mot ordboksangrep, den vil også gjøre forsøk på brute-force vesentlig hardere.
Avhengig av lengden og typen tegn som brukes, er det et begrenset antall mulige kombinasjoner for hvert passord. For en firetegn numerisk kode, for eksempel, har du totalt 10 000 mulige kombinasjoner. Hvis du legger til små bokstaver i ligningen, skyver du imidlertid tallet opp til nesten 1,7 millioner. Legg til store bokstaver, så ser du på nærmere 14,8 millioner kombinasjoner.
Det kan høres ut som mye, men moderne verktøy for sprekkdannelse av passord vil gå gjennom alle disse kombinasjonene i løpet av sekunder, og i tillegg til å anbefale bruk av et så bredt spekter av tegn som mulig, sier eksperter også at et godt passord er minst 8 tegn lang.
Noen av dere leser kanskje denne tankegangen "lettere sagt enn gjort". Vi regner med at å hindre brute-force forsøk aldri har vært enklere. Med Cyclonis Password Manager er det en lek å lage og lagre flere sterke passord. Den automatiske passordgeneratoren lager tilfeldige passord som består av tall, bokstaver og spesialtegn, og det er opp til deg å bestemme hvor lenge du vil at de skal være. Du trenger ikke å bekymre deg for å huske dem, heller. Cyclonis Password Manager vil legge alle passordene dine i et kryptert hvelv som du kan få tilgang til via hovedpassordet.
