reklama
Pokud pravidelně čtete naše články o zabezpečení - například o tomto testování síly hesla Vyzkoušejte sílu svého hesla pomocí stejného nástroje, jaký hackeři používajíJe vaše heslo bezpečné? Nástroje, které hodnotí sílu vašeho hesla, mají nízkou přesnost, což znamená, že jediný způsob, jak si skutečně otestovat vaše hesla, je pokusit se je rozbít. Pojďme se podívat na to, jak. Přečtěte si více - pravděpodobně jste slyšeli frázi „útok hrubou silou“. Ale co to přesně znamená? Jak to funguje? A jak se proti tomu můžete chránit? Zde je to, co potřebujete vědět.
Útoky hrubou silou: Základy
Když k tomu dojde, útok brutální síly je opravdu jednoduchý: počítačový program se snaží uhodnout heslo nebo šifrovací klíč iterací prostřednictvím všech možných kombinací určitého počtu postavy. Řekněme například, že jste napsali aplikaci, která se pokusila vynutit si čtyřmístné heslo pro iPhone. Mohlo by to hádat 1111, pak 1112, poté 1113, 1114, 1115 atd., Dokud nedosáhne 9999.
Stejný princip lze použít iu složitějších hesel. Algoritmus hrubé síly by mohl začít s aaaaaa, aaaaab, aaaaaac, a pak přistoupit k věcem jako aabaa1, aabaa2, aabaa3 atd. prostřednictvím všech šestimístných kombinací čísel a písmen až do zzzzzz, zzzzz1 a mimo.
Existuje také technika známá jako útok reverzní brutální síly, při kterém se jedno heslo vyzkouší proti mnoha různým uživatelským jménům. To je méně běžné a obtížnější je úspěšně používat, ale obejde se některými běžnými protiopatřeními.
Jak vidíte, jedná se o poněkud nevhodný způsob, jak uhodnout heslo. Teoreticky však, pokud máte dostatek výpočetního výkonu a dostatek energie, můžete uhádnout jakékoli heslo. Ale pokud používáte něco jiného než krátké jednoduché heslo, nemusíte se čeho bát, protože množství výpočetní výkon, který by vyžadoval uhodnutí delšího hesla, by vyžadoval obrovské množství energie a mohl by trvat roky kompletní.
Pokročilé útoky hrubou silou
Protože útoky hrubou silou na cokoli kromě velmi jednoduchých hesel jsou žalostně neefektivní a časově náročné, hackeři přišli s některými nástroji, které je zefektivňují.
Například útok slovníku neprobíhá pouze opakováním všech možných kombinací znaků; používá slova, čísla nebo řetězce znaků z předem sestaveného seznamu, který hacker považuje za alespoň poněkud s větší pravděpodobností než průměr se ukáže v hesle (to je druh útoku, se kterým můžete běžet) jednoduchý software pro testování penetrace sítí Jak otestovat zabezpečení domácí sítě pomocí bezplatných hackerských nástrojůŽádný systém nemůže být zcela „odolný proti hackerům“, ale testy zabezpečení prohlížeče a síťové zabezpečení mohou zvýšit vaše nastavení. Pomocí těchto bezplatných nástrojů můžete identifikovat „slabá místa“ ve vaší domácí síti. Přečtěte si více ).
Například, slovníkový útok může vyzkoušet několik běžných hesel, než se pustí do standardního útoku hrubou silou, jako „heslo“, „mypassword“, „letmein“ atd. Nebo může přidat „2016“ na konec všech hesel, která se snaží, než přejde na další heslo.
Existují různé způsoby použití útoků hrubou silou, ale všichni se spoléhají na vyzkoušení obrovského počtu hesel co nejrychleji, dokud není nalezeno to správné. Některé vyžadují větší výpočetní výkon, ale šetří čas; některé jsou rychlejší, ale během útoku vyžadují větší množství úložiště.
Tam, kde jsou útoky brutální síly nebezpečné
Útoky hrubou silou lze použít na cokoli, co má heslo nebo šifrovací klíč, ale na mnoha místech Mohly by být použity, zavedly proti nim účinná protiopatření (jak uvidíte v další části).
Pokud jste ztratili svá data a hacker je chytil - jednou jste, jste nejvíce ohroženi útokem brutální síly je na jejich počítači, mohou být některé záruky, které jsou na vašem stroji nebo online obejít.
Jak by mohl nějaký podvodník dostat vaše data do svého počítače? Mohli byste ztratit flash disk, možná tím, že jej necháte v kapse oblečení, které jste poslali do čistírny, jako je Nalezeno 4 500 flash disků v roce 2009 ve Velké Británii. Nebo, stejně jako dalších 12 500 nalezených zařízení, můžete nechat telefon nebo notebook v kabině. Je to snadné dělat.
Nebo někdo mohl něco stáhnout z cloudové služby, protože jste sdíleli nezabezpečený zkrácený odkaz Zkrácené odkazy ohrožují vaši bezpečnost?Nedávná studie ukázala, že pohodlí zkracování URL, jako je bit.ly a goo.gl, může znamenat značné riziko pro vaši bezpečnost. Je čas ukončit nástroje pro zkracování adres URL? Přečtěte si více . Nebo jste možná zasáhli nějaký ransomware, který nejen uzamkl počítač, ale také ukradl některé soubory.
Smyslem toho všeho je, že útoky brutální síly nejsou na některých místech účinné, ale existuje mnoho způsobů, jak je lze nasadit proti vašim datům. Nejlepší způsob, jak zabránit tomu, aby se vaše data dostaly do počítače hackera, je sledovat, kde jsou vaše zařízení (zejména flash disky!).
Ochrana před útoky brutální síly
Existuje řada obran, které mohou webové stránky nebo aplikace použít proti útokům brutální síly. Jedním z nejjednodušších a nejčastěji používaných je blokování: pokud zadáte nesprávné heslo, určitě kolikrát je účet uzamčen a je třeba kontaktovat zákaznický servis nebo vaše IT oddělení. Tím se zastaví útok brutální síly v jejích stopách.
Podobná taktika může být použita s CAPTCHA výzva Vše, co jste kdy chtěli vědět o CAPTCHA, ale měli jste strach zeptat se [vysvětlení technologie]Milovat je nebo nenávidět - CAPTCHA se staly všudypřítomné na internetu. Co je vlastně CAPTCHA a odkud to přišlo? Skromný CAPTCHA zodpovědný za oční napětí na celém světě ... Přečtěte si více nebo jiné podobné úkoly. Žádná z těchto metod nebude fungovat proti útoku reverzní brutální síly, protože selže test hesla jednou pro každý účet.
Další metodou, kterou lze těmto útokům zabránit (standardní i zpětné), je dvoufaktorové ověřování Co je dvoufaktorové ověření a proč byste ho měli používatDvoufázové ověřování (2FA) je bezpečnostní metoda, která vyžaduje dva různé způsoby prokázání vaší identity. Běžně se používá v každodenním životě. Například platba kreditní kartou vyžaduje nejen kartu, ... Přečtěte si více (2FA); i když hacker uhodne správné heslo, požadavek jiného kódu nebo vstupu zastaví útok, i když uhodne správné heslo. Naštěstí je stále více služeb zahrnující 2FA Uzamkněte tyto služby nyní pomocí dvoufaktorového ověřeníDvoufaktorové ověřování je chytrý způsob, jak chránit své online účty. Pojďme se podívat na několik služeb, které můžete uzamknout, s lepším zabezpečením. Přečtěte si více do jejich systémů. To může být hádka Může být dvoufázové ověření méně dráždivé? Čtyři tajné hacky zaručené pro zvýšení bezpečnostiChcete zabezpečení účtu neprůstřelné? Velmi doporučuji povolit tzv. Dvoufaktorové ověřování. Přečtěte si více , ale ochrání vás před mnoha útoky.
Stojí za zmínku, že i když jsou tyto taktiky skvělé pro zabránění útokům brutální síly, mohou být také použity k útoku na web jiným způsobem. Například, pokud je zahájen útok hrubou silou proti webu, který zamkne účty po pěti nesprávných pokusech, jejich tým zákaznických služeb by mohl být zaplaven hovory a zpomalit web. Mohlo by být také použito jako součást distribuovaný útok odmítnutí služby Co je to DDoS Attack? [MakeUseOf vysvětluje]Termín DDoS hvízdá minulosti, kdy kybernetický aktivismus chová masově hlavu. Tyto útoky dělají mezinárodní titulky z mnoha důvodů. Problémy, které tyto útoky DDoS naskočí, jsou často kontroverzní nebo vysoce ... Přečtěte si více .
Nejjednodušším způsobem, jak se chránit před útokem brutální síly, je použít dlouhé heslo. Jak se délka hesla zvětšuje, výpočetní síla potřebná k odhadu všech možných kombinací znaků roste velmi rychle. V článku o bezpečnostních rizicích zkrácení adresy URL vědci ukázali, jak snadno lze uhodnout pět, šest a sedmiznakové tokeny, ale 11 a 12 znakové tokeny byly téměř nemožné.
Stejná logika můžete použít i na svá hesla. Používejte silná hesla 6 tipů pro vytvoření nerozbitného hesla, které si můžete pamatovatPokud vaše hesla nejsou jedinečná a nerozbitná, můžete také otevřít přední dveře a pozvat lupiče na oběd. Přečtěte si více a budete vůči útokům hrubou silou všichni imunní.
Překvapivě efektivní útok
Ať je to jednoduché a nevýhodné - nazývá se to „brutální síla“ z nějakého důvodu - tento útok může být překvapivě účinný při získávání přístupu k chráněným oblastem chráněným heslem. Ale teď, když víte, jak útok funguje a jak se proti němu dokážete chránit, neměli byste se čeho bát!
Používáte dvoufaktorové ověřování? Víte o jiných dobrých obranách proti útokům brutální síly? Podělte se o své myšlenky a tipy níže!
Obrazové kredity: TungCheung přes Shutterstock, cunaplus přes Shutterstock.
Dann je obsahová strategie a marketingový konzultant, který pomáhá společnostem vytvářet poptávku a vede. Také blogy o strategii a marketingu obsahu na dannalbright.com.