Vad är en brute-Force Attack och hur man kan förhindra det

What is a brute-force attack?

Vi måste alla lösa CAPTCHA då och då, men har du någonsin tänkt vad syftet med dessa ibland irriterande tester är? Och vad betyder CAPTCHA ändå? Det står för Completely Automated Public Turing test to tell Computers and Humans Apart, och ett av dess huvudmål är att förhindra framgångsrika brute-force attacker. Dags för några fler frågor.

Vad är en brute-force attack?

Tänk på ett kombinationslås. Du känner inte till den fyrsiffriga koden som låser upp den, så du försöker bara gissa den. Du börjar med "0000" och om det inte fungerar försöker du "0001", "0002", "0003" etc. tills du når kombinationen som öppnar låset. Detta är i enkla termer en brute-force attack, och samma princip kan tillämpas på lösenord.

Naturligtvis är det inte så lätt som det låter. Vanligtvis består lösenord av mer än fyra tecken, och det finns vanligtvis bokstäver i dem som, som vi får reda på på en minut, innebär att antalet möjliga kombinationer är mycket högre. Sammantaget är en brute-force-attack i sin traditionella form inte ett briljant effektivt sätt att bryta ett lösenord. Därför är en utveckling av den brute-force attack som kallas en ordbok attack mycket vanligare nuförtiden.

Vad är en ordbokattack?

I en ordbokattack försöker hackare fortfarande gissa lösenordet. Skillnaden är att de i ett brute-force-försök skjuter i mörkret medan de här gör utbildade gissningar. Denna attack görs möjlig genom att användarna helt enkelt inte är så bra med lösenord.

Det är svårt att memorera flera komplexa lösenord, varför många använder sig av att skydda sina konton med enkla ord som "lösenord" eller tangentbordsmönster som "qwerty". Genom att sätta ihop långa listor med vanliga lösenord är det mycket mer benägit att hackare gissar lösenordet med mycket färre försök.

Offline- och onlineattacker

Både den traditionella brute-force attacken och ordboksorten kan utföras online eller offline. I en online-attack försöker hackarna gissa lösenordet på inloggningssidan. När de är offline har de kränkt tjänsteleverantören och har laddat ner databasen som innehåller ditt hashade lösenord. Efter lokalt återskapande av hasningsmekanismen försöker de gissa lösenordet utan att ansluta till inloggningssidan.

Var kommer CAPTCHA in i allt detta?

Det är en mekanism för att stoppa online-brute-force och ordbokattacker. Som du kanske redan gissat sitter inte angriparna framför ett tangentbord och prövar olika lösenord förrän "Access Granted" visas på skärmen. De använder automatiserade verktyg och programvara, och lika sofistikerade som dessa verktyg är inte i stånd att lösa ett bra CAPTCHA-test. Det finns vanligtvis andra försiktighetsåtgärder som gränser för antalet misslyckade inloggningsförsök och blockering av IP: er som genererar misstänksam trafik, men ett CAPTCHA-test är den enklaste (men inte helt idiotsäkra) lösningen.

I en offlineattack är dock ett CAPTCHA-test helt irrelevant. Det är där du behöver gå in.

Skydda dig mot brute-force attacker

Det enda sättet att säkerställa att ditt lösenord inte är mottagligt för en ordbokattack är att se till att det inte finns i hackarens ordböcker. Alla tangentbordsmönster bör vara ifrågasatta, även om du tror att de inte är enkla att gissa. Om lösenordet är ett meningsfullt ord kan du också vara sårbar. Glöm inte att hackarna i en offlineattack inte behöver oroa sig för att bli fångade eller slut på inloggningsförsök, så att de teoretiskt kan ladda ett språk hela ordförråd och vänta på att rätt ord kommer upp. En slumpmässig sträng av tecken som inte är meningsfull kommer inte bara att skydda dig från ordboksattacker, utan kommer också att göra försök med brute-force betydligt hårdare.

Beroende på längden och typen av tecken som används finns det ett begränsat antal möjliga kombinationer för varje lösenord. För till exempel en numerisk kod med fyra tecken har du totalt 10 tusen möjliga kombinationer. Om du lägger till små bokstäver i ekvationen, trycker du dock omedelbart upp numret till nästan 1,7 miljoner. Lägg till stora bokstäver och du tittar på nära 14,8 miljoner kombinationer.

Det kan låta som mycket, men moderna lösenordskrackningsverktyg kommer att gå igenom alla dessa kombinationer på några sekunder, varför experter säger att ett bra lösenord är åtminstone för att rekommendera användning av ett så brett spektrum av tecken som möjligt. 8 tecken långa.

Några av er läser detta tänkande "lättare sagt än gjort". Vi anser att det inte har varit enklare att motverka brute-force-försök. Med Cyclonis Password Manager är det mycket svårt att skapa och lagra flera starka lösenord. Den automatiska lösenordsgeneratorn skapar slumpmässiga lösenord som består av siffror, bokstäver och specialtecken, och det är upp till dig att bestämma hur länge du vill att de ska vara. Du behöver inte oroa dig för att komma ihåg dem heller. Cyclonis Password Manager sätter alla dina lösenord i ett krypterat valv som du kan komma åt via ditt huvudlösenord.

January 13, 2020

Lämna ett svar