Brian Curtis
0 
4187
211
Jeśli regularnie czytasz nasze artykuły dotyczące bezpieczeństwa - na przykład ten o testowaniu siły hasła Testuj siłę hasła za pomocą tego samego narzędzia Hakerzy Użyj Testuj siłę hasła za pomocą tego samego narzędzia Hakerzy Użyj Czy Twoje hasło jest bezpieczne? Narzędzia oceniające siłę hasła mają słabą dokładność, co oznacza, że jedynym sposobem na naprawdę przetestowanie hasła jest próba ich złamania. Zobaczmy jak. - prawdopodobnie słyszałeś to zdanie “brutalny atak.” Ale co to dokładnie znaczy? Jak to działa? Jak możesz się przed tym uchronić? Oto, co musisz wiedzieć.
Ataki Brute Force: podstawy
Jeśli chodzi o to, atak brute force jest naprawdę prosty: program komputerowy próbuje odgadnąć hasło lub klucz szyfrujący, iterując wszystkie możliwe kombinacje określonej liczby znaków. Załóżmy na przykład, że napisałeś aplikację, która próbowała brutalnie wymusić czterocyfrowe hasło iPhone'a. Może zgadnąć 1111, potem 1112, następnie 1113, 1114, 1115 i tak dalej, aż dotrze do 9999.
Tę samą zasadę można zastosować w przypadku bardziej skomplikowanych haseł. Algorytm brutalnej siły może zaczynać się od aaaaaa, aaaaab, aaaaaac, a następnie przejść do rzeczy takich jak aabaa1, aabaa2, aabaa3 itd., Poprzez wszystkie sześcioznakowe kombinacje liczb i liter, aż do zzzzzz, zzzzz1 i innych.
Istnieje również technika znana jako atak odwrotnej brutalnej siły, w której jedno hasło jest wypróbowywane wobec wielu różnych nazw użytkowników. Jest to mniej powszechne i trudniejsze do skutecznego zastosowania, ale omija niektóre typowe środki zaradcze.
Jak widać, jest to raczej nieelegancki sposób odgadnięcia hasła. Teoretycznie jednak, jeśli masz wystarczającą moc obliczeniową i energię, możesz odgadnąć dowolne hasło. Ale jeśli używasz czegoś innego niż krótkie, proste hasło, nie masz się czym martwić, ponieważ ilość mocy obliczeniowej potrzebnej do odgadnięcia dłuższego hasła wymagałaby ogromnej ilości energii i mogłaby zająć lata ukończyć.
Zaawansowane ataki brutalnej siły
Ponieważ ataki typu brute force na cokolwiek poza bardzo prostymi hasłami są żałośnie nieefektywne i czasochłonne, hakerzy wymyślili pewne narzędzia, które zwiększają ich skuteczność.
Na przykład atak słownikowy nie polega tylko na iteracji wszystkich możliwych kombinacji znaków; wykorzystuje słowa, cyfry lub ciągi znaków ze wstępnie skompilowanej listy, którą haker uważa za co najmniej nieco bardziej prawdopodobne niż w przypadku hasła (jest to rodzaj ataku, który można przeprowadzić przy dość prostej penetracji sieci oprogramowanie do testowania Jak przetestować bezpieczeństwo sieci domowej za pomocą bezpłatnych narzędzi hakerskich Jak przetestować bezpieczeństwo sieci domowej za pomocą bezpłatnych narzędzi hakerskich Żaden system nie może być całkowicie „odporny na włamanie”, ale testy bezpieczeństwa przeglądarki i zabezpieczenia sieci mogą uczynić konfigurację bardziej niezawodną. te bezpłatne narzędzia do identyfikowania „słabych punktów” w sieci domowej)..
Na przykład atak słownikowy może wypróbować wiele typowych haseł przed przejściem do standardowego ataku typu brute force, takiego jak “hasło,” “moje hasło,” “wpuść mnie,” i tak dalej. Lub może dodać “2016 r” na końcu wszystkich haseł, które próbuje przed przejściem do następnego hasła.
Istnieją różne metody użycia ataków siłowych, ale wszystkie polegają na wypróbowaniu dużej liczby haseł tak szybko, jak to możliwe, aż do znalezienia właściwego. Niektóre wymagają większej mocy obliczeniowej, ale oszczędzają czas; niektóre są szybsze, ale wymagają większej ilości pamięci do użycia podczas ataku.
Gdzie ataki brutalnej siły są niebezpieczne
Ataki typu „brute force” można zastosować do wszystkiego, co ma hasło lub klucz szyfrujący, ale w wielu miejscach, w których można je zastosować, wdrożono skuteczne środki zaradcze przeciwko nim (jak zobaczymy w następnej sekcji).
Jesteś najbardziej zagrożony atakiem siłowym, jeśli stracisz swoje dane, a haker je przejmie - gdy tylko znajdą się na komputerze, niektóre zabezpieczenia wprowadzone na komputerze lub w Internecie można obejść.
W jaki sposób złoczyńca może przenieść twoje dane na swój komputer? Możesz stracić pamięć flash, może pozostawiając ją w kieszeni ubrania, które wysłałeś do pralni chemicznej, na przykład 4500 dysków flash znalezionych w 2009 roku w Wielkiej Brytanii. Lub, podobnie jak inne 12 500 znalezionych urządzeń, możesz zostawić telefon lub laptop w taksówce. To łatwa rzecz do zrobienia.
A może ktoś był w stanie pobrać coś z usługi w chmurze, ponieważ udostępniłeś niepewny skrócony link Czy skrócony link zagraża Twojemu bezpieczeństwu? Czy skrócone linki zagrażają Twojemu bezpieczeństwu? Ostatnie badanie wykazało, że wygoda korzystania ze skracaczy URL, takich jak bit.ly i goo.gl, może stanowić poważne zagrożenie dla twojego bezpieczeństwa. Czy nadszedł czas, aby zamknąć narzędzia do skracania adresów URL? . A może dostałeś ransomware, który nie tylko zablokował komputer, ale także ukradł niektóre twoje pliki.
Chodzi o to, że ataki typu brute force nie są skuteczne w niektórych miejscach, ale istnieje wiele sposobów, w jakie można je wdrożyć przeciwko twoim danym. Najlepszym sposobem, aby zapobiec przedostawaniu się danych na komputer hakera, jest dokładne monitorowanie miejsca, w którym znajdują się Twoje urządzenia (zwłaszcza dyski flash!).
Ochrona przed atakami brutalnej siły
Istnieje wiele mechanizmów obronnych, z których strony internetowe lub aplikacje mogą korzystać przed atakami siłowymi. Jednym z najprostszych i najczęściej używanych jest blokada: jeśli wpiszesz nieprawidłowe hasło określoną liczbę razy, konto zostanie zablokowane i będziesz musiał skontaktować się z obsługą klienta lub działem IT. To powstrzymuje atak brutalnej siły.
Podobną taktykę można zastosować w przypadku wyzwania CAPTCHA Wszystko, co kiedykolwiek chciałeś wiedzieć o CAPTCHA, ale bałeś się zapytać [Technologia wyjaśniona] Wszystko, co kiedykolwiek chciałeś wiedzieć o CAPTCHA, ale bałeś się zapytać [Technologia wyjaśniona] Kochaj je lub nienawidz ich - CAPTCHA stały się wszechobecne w Internecie. Czym, u diabła, jest CAPTCHA i skąd się wziął? Odpowiedzialny za zmęczenie oczu na całym świecie, pokorną CAPTCHA… lub inne podobne zadania. Żadna z tych metod nie będzie działać przeciwko odwrotnemu atakowi siłowemu, ponieważ nie powiedzie się test hasła tylko raz dla każdego konta.
Inną metodą, którą można zastosować w celu zapobiegania tym atakom (zarówno standardowym, jak i odwrotnym) jest uwierzytelnianie dwuskładnikowe. Co to jest uwierzytelnianie dwuskładnikowe i dlaczego warto go używać Co to jest uwierzytelnianie dwuskładnikowe i dlaczego warto go stosować dwuskładnikowo Uwierzytelnianie (2FA) to metoda bezpieczeństwa, która wymaga dwóch różnych sposobów potwierdzenia tożsamości. Jest powszechnie stosowany w życiu codziennym. Na przykład płacenie kartą kredytową wymaga nie tylko karty… (2FA); nawet jeśli haker odgadnie właściwe hasło, wymóg podania innego kodu lub danych wejściowych zatrzyma atak, nawet jeśli odgadnie prawidłowe hasło. Na szczęście coraz więcej usług zawiera 2FA Zablokuj te usługi teraz z uwierzytelnianiem dwuskładnikowym Zablokuj te usługi teraz z uwierzytelnieniem dwuskładnikowym Uwierzytelnianie dwuskładnikowe to inteligentny sposób na ochronę kont online. Rzućmy okiem na kilka usług, które możesz zablokować z większym bezpieczeństwem. do swoich systemów. Może to być problem. Czy weryfikacja dwuetapowa może być mniej irytująca? Cztery tajne hacki gwarantowane w celu poprawy bezpieczeństwa Czy weryfikacja dwuetapowa może być mniej irytująca? Cztery tajne hacki gwarantowane w celu poprawy bezpieczeństwa Czy chcesz mieć bezpieczeństwo konta kuloodpornego? Zdecydowanie sugeruję włączenie uwierzytelniania „dwuskładnikowego”. , ale ochroni cię przed wieloma atakami.
Warto zauważyć, że chociaż taktyki te świetnie nadają się do unikania ataków siłowych, mogą być również używane do atakowania witryny na inne sposoby. Na przykład, jeśli brutalna siła zostanie przeprowadzona przeciwko witrynie blokującej konta po pięciu błędnych próbach, ich zespół obsługi klienta może zostać zalany połączeniami, co spowolni działanie witryny. Może być również wykorzystany jako część rozproszonego ataku typu „odmowa usługi” Czym jest atak DDoS? [MakeUseOf wyjaśnia] Co to jest atak DDoS? [MakeUseOf wyjaśnia] Termin DDoS gwiżdże w przeszłości, ilekroć cyberaktywizm zbiera się w głowie. Tego rodzaju ataki pojawiają się w nagłówkach międzynarodowych z wielu powodów. Problemy, które przyspieszają te ataki DDoS, są często kontrowersyjne lub bardzo… .
Zdecydowanie najłatwiejszym sposobem zabezpieczenia się przed atakiem brutalnej siły jest użycie długiego hasła. Wraz ze wzrostem długości hasła moc obliczeniowa wymagana do odgadnięcia wszystkich możliwych kombinacji znaków rośnie bardzo szybko. W artykule na temat zagrożeń bezpieczeństwa skracaczy URL badacze wykazali, jak łatwo zgadnąć tokeny pięcio-, sześcio- i siedmioznakowe, ale tokeny 11- i 12-znakowe były prawie niemożliwe.
Możesz zastosować tę samą logikę do swoich haseł. Używaj silnych haseł 6 porad dotyczących tworzenia niezłomnego hasła, które możesz zapamiętać 6 wskazówek dotyczących tworzenia niezniszczalnego hasła, które możesz zapamiętać Jeśli twoje hasła nie są unikalne i niezniszczalne, równie dobrze możesz otworzyć drzwi wejściowe i zaprosić złodziei na lunch. , a będziesz prawie odporny na ataki brutalnej siły.
Zaskakująco skuteczny atak
Jak to proste i nieeleganckie - nazywa się “brutalna siła” z jakiegoś powodu - ten rodzaj ataku może być zaskakująco skuteczny w uzyskiwaniu dostępu do obszarów chronionych hasłem i szyfrowanych. Ale teraz, gdy wiesz, jak działa atak i jak możesz się przed nim chronić, nie powinieneś się martwić!
Czy korzystasz z uwierzytelniania dwuskładnikowego? Czy znasz inne dobre sposoby obrony przed atakami brutalnej siły? Podziel się swoimi przemyśleniami i wskazówkami poniżej!
Zdjęcia: TungCheung przez Shutterstock, cunaplus przez Shutterstock.