Co to jest atak brutalnej siły i jak go zapobiegać

What is a brute-force attack?

Wszyscy musimy od czasu do czasu rozwiązywać CAPTCHA, ale czy kiedykolwiek zastanawiałeś się, jaki jest cel tych czasami denerwujących testów? A co w ogóle oznacza CAPTCHA? To oznacza Completely Automated Public Turing test to tell Computers and Humans Apart a jednym z jego głównych celów jest zapobieganie udanych ataków brute-force. Czas na więcej pytań.

Co to jest atak brutalnej siły?

Pomyśl o zamku szyfrowym. Nie znasz czterocyfrowego kodu, który go odblokowuje, więc po prostu spróbuj go odgadnąć. Zaczynasz od „0000”, a jeśli to nie działa, spróbuj „0001”, „0002”, „0003” itd., Aż dojdziesz do kombinacji otwierającej zamek. Mówiąc najprościej, jest to atak siłowy, a tę samą zasadę można zastosować do haseł.

Oczywiście nie jest to tak proste, jak się wydaje. Zazwyczaj hasła składają się z więcej niż czterech znaków i zwykle są w nich litery, które, jak się dowiemy za chwilę, oznaczają, że liczba możliwych kombinacji jest znacznie wyższa. Podsumowując, atak typu „brute-force” w tradycyjnej formie nie jest genialnie skutecznym sposobem złamania hasła. Dlatego ewolucja ataku typu „brute-force”, zwanego atakiem słownikowym, jest obecnie znacznie bardziej powszechna.

Co to jest atak słownikowy?

W ataku słownikowym hakerzy wciąż próbują odgadnąć hasło. Różnica polega na tym, że w próbie brutalnej siły strzelają w ciemności, podczas gdy tutaj wykształcają domysły. Ten atak jest możliwy dzięki temu, że użytkownicy po prostu nie są zbyt dobrzy w zakresie haseł.

Zapamiętywanie wielu złożonych haseł jest trudne, dlatego wiele osób korzysta z ochrony swoich kont za pomocą prostych słów, takich jak „hasło” lub wzorców klawiatury, takich jak „qwerty”. Dzięki zestawieniu długich list często używanych haseł hakerzy znacznie częściej odgadują hasło przy znacznie mniejszej liczbie prób.

Ataki offline i online

Zarówno tradycyjny atak siłowy, jak i różnorodność słownikowa mogą być wykonywane online lub offline. W ataku online hakerzy próbują odgadnąć hasło na stronie logowania. W trybie offline naruszyli dostawcę usług i pobrali bazę danych zawierającą Twoje zaszyfrowane hasło. Po lokalnym odtworzeniu mechanizmu mieszającego próbują odgadnąć hasło bez łączenia się ze stroną logowania.

Skąd bierze się CAPTCHA?

Jest to mechanizm służący do powstrzymywania ataków siłowych i słownikowych w Internecie. Jak można się już domyślać, osoby atakujące nie siadają przed klawiaturą i wypróbowują różne hasła, dopóki na ekranie nie pojawi się komunikat „Przyznany dostęp”. Używają zautomatyzowanych narzędzi i oprogramowania, a choć są one tak wyrafinowane, nie są w stanie rozwiązać dobrego testu CAPTCHA. Zwykle istnieją inne środki ostrożności, takie jak ograniczenia liczby nieudanych prób logowania i blokowania adresów IP generujących podejrzany ruch, ale test CAPTCHA jest najprostszym (choć nie całkowicie niezawodnym) rozwiązaniem.

Jednak w przypadku ataku offline test CAPTCHA jest całkowicie nieistotny. Właśnie tam musisz wkroczyć.

Zabezpiecz się przed atakami siłowymi

Jedynym sposobem, aby twoje hasło nie było podatne na atak słownikowy, jest upewnienie się, że nie ma go w słownikach hakerów. Wszelkie wzorce klawiatury powinny być wykluczone, nawet jeśli uważasz, że nie są łatwe do odgadnięcia. Jeśli hasło jest znaczącym słowem, możesz być również narażony na atak. Nie zapominaj, że podczas ataku offline hakerzy nie muszą się martwić, że zostaną złapani lub skończą się próby logowania, więc teoretycznie mogą załadować całe słownictwo języka i czekać na właściwe słowo. Losowy ciąg znaków, który nie ma sensu, nie tylko ochroni cię przed atakami słownikowymi, ale także znacznie utrudni próby użycia siły.

W zależności od długości i rodzaju użytych znaków dla każdego hasła istnieje skończona liczba możliwych kombinacji. Na przykład dla czteroznakowego kodu numerycznego masz w sumie 10 tysięcy możliwych kombinacji. Jeśli jednak dodasz małe litery do równania, natychmiast zwiększysz liczbę do prawie 1,7 miliona. Dodaj wielkie litery, a zobaczysz blisko 14,8 miliona kombinacji.

Może to zabrzmieć dużo, ale nowoczesne narzędzia do łamania haseł przejdą wszystkie te kombinacje w ciągu kilku sekund, dlatego oprócz zalecania użycia tak szerokiej gamy znaków, jak to możliwe, eksperci twierdzą również, że dobre hasło to przynajmniej 8 znaków długości.

Niektórzy z was mogą czytać to myślenie „łatwiej powiedzieć niż zrobić”. Uważamy, że udaremnianie prób brutalnej siły nigdy nie było prostsze. Dzięki Cyclonis Password Manager tworzenie i przechowywanie wielu silnych haseł to pestka. Automatyczny generator haseł utworzy losowe hasła składające się z cyfr, liter i znaków specjalnych, a Ty decydujesz, jak długo mają one trwać. Nie musisz się też martwić o ich zapamiętanie. Cyclonis Password Manager umieści wszystkie hasła w zaszyfrowanym skarbcu, do którego będzie można uzyskać dostęp za pomocą hasła głównego.

January 13, 2020

Zostaw odpowiedź