Что такое атаки грубой силы и как вы можете защитить себя?

Если вы регулярно читаете наши статьи о безопасности — например, о проверке надежности пароля

— Вы, наверное, слышали фразу «атака грубой силой». Но что именно это означает? Как это работает? И как вы можете защитить себя от этого? Вот что вам нужно знать.

Атаки грубой силы: основы

Когда дело доходит до этого, атака грубой силы действительно проста: компьютерная программа пытается угадать пароль или ключ шифрования, просматривая все возможные комбинации определенного количества символов. Например, допустим, вы написали приложение, которое пыталось взломать четырехзначный пароль iPhone. Он может угадать 1111, затем 1112, затем 1113, 1114, 1115 и так далее, пока не достигнет 9999.

iphone-Lockscreen

Тот же принцип можно применять с более сложными паролями. Алгоритм грубой силы может начинаться с aaaaaa, aaaaab, aaaaaac, затем переходить к таким вещам, как aabaa1, aabaa2, aabaa3 и т. Д., Через все шестизначные комбинации цифр и букв вплоть до zzzzzz, zzzzz1 и далее.

Существует также техника, известная как атака методом перебора, при которой один пароль используется для разных имен пользователей. Это менее распространено и более трудно успешно использовать, но оно обходит некоторые общие контрмеры.

Как видите, это довольно неумелый способ угадать пароль. Однако теоретически, если у вас достаточно вычислительной мощности и энергии, вы можете угадать любой пароль. Но если вы используете что-то, кроме короткого простого пароля, вам не о чем беспокоиться, так как объем вычислительной мощности, который потребуется, чтобы угадать более длинный пароль, потребует огромного количества энергии и может занять годы завершить.

Продвинутые атаки грубой силы

Поскольку атаки методом «грубой силы» на что угодно, кроме очень простых паролей, ужасно неэффективны и отнимают много времени, хакеры придумали некоторые инструменты, которые делают их более эффективными.

Например, атака по словарю — это не просто повторение всех возможных комбинаций символов; он использует слова, цифры или строки символов из предварительно скомпилированного списка, который, как считает хакер, по крайней мере, несколько чаще, чем в среднем, обнаруживается в пароле (такую ​​атаку вы можете провести с помощью довольно простого проникновения в сеть тестирование программного обеспечения

).

словарь-атака

Например, атака по словарю может использовать несколько общих паролей перед началом стандартной атаки методом перебора, например «пароль», «мой пароль», «letmein» и так далее. Или он может добавить «2016» в конце всех паролей, которые он пробует, прежде чем перейти к следующему паролю.

Существуют различные методы использования атак методом «грубой силы», но все они полагаются на то, что они пробуют огромное количество паролей как можно быстрее, пока не будет найден правильный. Некоторые требуют большей вычислительной мощности, но экономят время; некоторые из них быстрее, но требуют большего объема памяти для использования во время атаки.

Где атаки грубой силы опасны

Атаки грубой силой могут быть использованы на все, что имеет пароль или ключ шифрования, но во многих местах, где они могут быть использованы, были применены эффективные контрмеры против них (как вы увидите в следующем разделе).

Вы подвергаетесь наибольшей опасности от атаки грубой силы, если вы потеряете свои данные и хакер завладеет ими — как только они попадут на их компьютер, некоторые из защитных механизмов, установленных на вашем компьютере или в сети, могут быть обойдены.

Как злоумышленник может получить ваши данные на свой компьютер? Вы можете потерять флешку, возможно, оставив ее в кармане своей одежды, которую вы отправили в химчистку, например, 4500 флешек, найденных в 2009 году в Великобритании. Или, как и другие 12 500 найденных устройств, вы можете оставить телефон или ноутбук в кабине. Это легко сделать.

обнаружение потерянной-телефон

Или, может быть, кто-то смог загрузить что-то из облачного сервиса, потому что вы открыли небезопасную сокращенную ссылку

, Или, может быть, вы получили какое-то вымогателей, которые не только заблокировали ваш компьютер, но и украли некоторые из ваших файлов.

Смысл всего этого в том, что атаки методом «грубой силы» в некоторых местах неэффективны, но существует множество способов их развертывания против ваших данных. Лучший способ предотвратить попадание ваших данных на компьютер хакера — следить за тем, где находятся ваши устройства (особенно флеш-накопители!).

Защита от атак грубой силы

Существует ряд способов защиты, которые веб-сайты или приложения могут использовать против атак методом перебора. Одним из самых простых и часто используемых является блокировка: если вы вводите неправильный пароль определенное количество раз, учетная запись блокируется, и вам необходимо связаться со службой поддержки или вашим ИТ-отделом. Это останавливает атаку грубой силой на своих путях.

Подобная тактика может быть использована с вызовом CAPTCHA

или другие подобные задачи. Ни один из этих методов не сработает против атаки методом «грубой силы», так как он провалит проверку пароля только один раз для каждой учетной записи.

Другим методом, который можно использовать для предотвращения этих атак (как стандартных, так и обратных), является двухфакторная проверка подлинности.

(2fa); даже если хакер угадывает правильный пароль, требование другого кода или ввода остановит атаку, даже если он угадывает правильный пароль. К счастью, все больше и больше сервисов включают 2FA

в их системы. Это может быть хлопот

, но это защитит вас от множества атак.

Стоит отметить, что, хотя эти тактики отлично подходят для предотвращения атак грубой силой, они также могут быть использованы для атаки на сайт другими способами. Например, если на сайт, который блокирует учетные записи после пяти неверных попыток, будет начата атака методом подбора, их команда по обслуживанию клиентов может быть затоплена вызовами, что приведет к замедлению работы сайта. Он также может быть использован как часть распределенной атаки типа «отказ в обслуживании».

,

пароль прочность тест

Безусловно, самый простой способ защитить себя от атаки методом перебора — использовать длинный пароль. По мере увеличения длины пароля вычислительные мощности, необходимые для угадывания всех возможных комбинаций символов, растут очень быстро. В документе, посвященном рискам безопасности, связанным с сокращением URL-адресов, исследователи показали, насколько легко угадать токены из пяти, шести и семи символов, но токены из 11 и 12 символов практически невозможно.

Вы можете применить ту же логику к вашим паролям. Используйте надежные пароли

и вы будете практически невосприимчивы к атакам грубой силы.

Удивительно эффективная атака

Из-за того, насколько она проста и не элегантна — в конце концов, по какой-то причине она называется «грубой силой» — этот вид атаки может быть удивительно эффективным для получения доступа к защищенным паролем и зашифрованным областям. Но теперь, когда вы знаете, как работает атака и как вы можете защитить себя от нее, вам не о чем беспокоиться!

Вы используете двухфакторную аутентификацию? Вам известны другие хорошие средства защиты от атак грубой силой? Поделитесь своими мыслями и советами ниже!

Изображение предоставлено: TungCheung через Shutterstock, cunaplus через Shutterstock.

Ссылка на основную публикацию
Adblock
detector