Что такое атака грубой силы и как ее предотвратить?
Нам всем нужно время от времени решать CAPTCHA, но задумывались ли вы когда-нибудь о цели этих порой раздражающих тестов? И что в любом случае означает CAPTCHA? Это означает Completely Automated Public Turing test to tell Computers and Humans Apart, и одна из его главных целей является предотвращение успешных атак грубой силы. Время для еще нескольких вопросов.
Table of Contents
Что такое атака грубой силой?
Подумайте о кодовом замке. Вы не знаете четырехзначный код, который его разблокирует, поэтому вы просто пытаетесь угадать его. Вы начинаете с «0000», и если он не работает, вы пытаетесь «0001», «0002», «0003» и т. Д., Пока не достигнете комбинации, которая открывает замок. Проще говоря, это грубая атака, и тот же принцип может быть применен к паролям.
Конечно, это не так просто, как кажется. Обычно пароли состоят из более чем четырех символов, и в них обычно есть буквы, которые, как мы выясним через минуту, означают, что число возможных комбинаций намного выше. В общем, атака методом "грубой силы" в ее традиционной форме не является блестяще эффективным способом взлома пароля. Вот почему эволюция атаки методом грубой силы, называемой атакой по словарю, в наши дни встречается гораздо чаще.
Что такое атака по словарю?
В атаке по словарю хакеры все еще пытаются угадать пароль. Разница в том, что при попытке грубой силы они стреляют в темноте, а здесь они делают обоснованные догадки. Эта атака стала возможной благодаря тому, что пользователи просто не очень хорошо разбираются в паролях.
Запоминать несколько сложных паролей сложно, поэтому многие люди прибегают к защите своих учетных записей с помощью простых слов, таких как «пароль», или шаблонов клавиатуры, например, «qwerty». Составляя длинные списки часто используемых паролей, хакеры с гораздо большей вероятностью могут угадать пароль с гораздо меньшим количеством попыток.
Оффлайн и онлайн атаки
Как традиционная атака методом «грубой силы», так и разновидность словаря могут быть выполнены онлайн или офлайн. При сетевой атаке хакеры пытаются угадать пароль на странице входа. Когда они в автономном режиме, они взломали поставщика услуг и загрузили базу данных, которая содержит ваш хешированный пароль. После локального воссоздания механизма хеширования они пытаются угадать пароль, не подключаясь к странице входа.
Где CAPTCHA входит во все это?
Это механизм, позволяющий прекратить онлайн-атаки грубой силы и словаря. Как вы уже, наверное, догадались, злоумышленники не сидят перед клавиатурой, пробуя разные пароли, пока на экране не появится «Доступ разрешен». Они используют автоматизированные инструменты и программное обеспечение, и как бы они ни были сложны, они не способны выполнить хороший тест CAPTCHA. Обычно существуют другие меры предосторожности, такие как ограничение количества неудачных попыток входа в систему и блокировка IP-адресов, которые генерируют подозрительный трафик, но тест CAPTCHA является самым простым (хотя и не полностью надежным) решением.
Однако при автономной атаке тест CAPTCHA совершенно не имеет значения. Вот где вам нужно вмешаться.
Защита от атак грубой силы
Единственный способ убедиться, что ваш пароль не подвержен атаке по словарю, - это убедиться, что его нет в словарях хакеров. О любой раскладке клавиатуры не может быть и речи, даже если вы думаете, что ее нелегко угадать. Если пароль является значимым словом, вы также можете быть уязвимы. Не забывайте, что при атаке в автономном режиме хакерам не нужно беспокоиться о том, что они могут быть пойманы или закончатся попытки входа в систему, поэтому они могут теоретически загрузить весь словарный запас языка и дождаться появления подходящего слова. Случайная последовательность символов, которая не имеет смысла, не только защитит вас от атак по словарю, но и значительно усложнит попытки перебора.
В зависимости от длины и типа используемых символов, для каждого пароля существует конечное число возможных комбинаций. Например, для четырехзначного числового кода у вас есть 10 тысяч возможных комбинаций. Однако, если вы добавите строчные буквы в уравнение, вы сразу увеличите число до почти 1,7 миллиона. Добавьте заглавные буквы, и вы увидите около 14,8 миллионов комбинаций.
Может показаться, что это много, но современные инструменты взлома паролей пройдут через все эти комбинации за считанные секунды, поэтому, помимо того, что рекомендуют использовать как можно более широкий диапазон символов, эксперты также говорят, что хороший пароль - это как минимум 8 символов в длину.
Некоторые из вас могут читать это мышление «легче сказать, чем сделать». Что ж, мы считаем, что пресечение попыток грубой силы никогда не было проще. С Cyclonis Password Manager создание и хранение нескольких надежных паролей очень просто. Автоматический генератор паролей создаст случайные пароли, состоящие из цифр, букв и специальных символов, и вы сами решаете, как долго вы хотите, чтобы они были. Вам не нужно беспокоиться о том, чтобы помнить их. Cyclonis Password Manager поместит все ваши пароли в зашифрованное хранилище, к которому вы сможете получить доступ через свой мастер-пароль.
