Hva er brute Force Attacks, og hvordan kan du beskytte deg selv?
Hvis du leser våre sikkerhetsartikler regelmessig - som denne om å teste passordstyrken din Test passordstyrken din med de samme verktøyhackerne Bruk test Ditt passordstyrke med de samme verktøyhackerne Bruk Er passordet ditt sikkert? Verktøy som vurderer passordstyrken din, har dårlig nøyaktighet, noe som betyr at den eneste måten å virkelig test passordene dine er, er å prøve å bryte dem. La oss se på hvordan. Les mer - du har sikkert hørt frasen “brutalt styrkeangrep.” Men hva betyr det egentlig? Hvordan virker det? Og hvordan kan du beskytte deg mot det? Her er hva du trenger å vite.
Brute Force Attacks: Grunnleggende
Når det kommer til det, er et brutalt kraftangrep veldig enkelt: et dataprogram prøver å gjette et passord eller en krypteringsnøkkel ved å iterere gjennom alle mulige kombinasjoner av et bestemt antall tegn. For eksempel, la oss si at du skrev en app som prøvde å brute tvinge et fire-nummer iPhone-passord. Det kan gjette 1111, deretter 1112, deretter 1113, 1114, 1115, og så videre til det kom til 9999.
Det samme prinsippet kan brukes med mer kompliserte passord. En brute force algoritme kan starte med aaaaaa, aaaaab, aaaaaac, deretter fortsette til ting som aabaa1, aabaa2, aabaa3, og så videre, gjennom alle seks tegn kombinasjonene av tall og bokstaver ned til zzzzzz, zzzzz1 og utover.
Det er også en teknikk kjent som revers brute force attack, hvor ett passord er prøvd mot mange forskjellige brukernavn. Dette er mindre vanlig og vanskeligere å bruke med hell, men det kommer til å komme seg rundt noen vanlige motforanstaltninger.
Som du kan se, er dette en ganske inelegant måte å gjette et passord på. Men teoretisk, hvis du hadde nok datakraft og nok energi, kan du gjette noe passord. Men hvis du bruker noe annet enn et kort, enkelt passord, har du ikke noe å bekymre deg for, da mengden av datakraft det ville ta å gjette et lengre passord, ville kreve mye energi og kunne ta år å fullføre.
Avanserte Brute Force Attacks
Fordi brute force-angrep på alt annet enn veldig enkle passord er voldsomt ineffektive og tidkrevende, har hackere kommet opp med noen verktøy som gjør dem mer effektive.
Et ordboksangrep, for eksempel, gjenspeiler ikke bare gjennom alle mulige kombinasjoner av tegn; det bruker ord, tall eller strenger av tegn fra en forhåndskompilert liste som hackeren mener å være minst noe mer sannsynlig enn gjennomsnittet for å dukke opp i et passord (dette er typen angrep du kan kjøre med ganske enkelt nettverkspenetrering testing-programvare Slik tester du hjemme-nettverkssikkerhet med gratis hackingsverktøy Slik tester du hjemme-nettverkssikkerhet med gratis hackingsverktøy Ingen system kan være helt "hack-proof", men nettleserens sikkerhetstester og nettverkssikkerhet kan gjøre oppsettet mer robust. disse gratis verktøyene for å identifisere "svake punkter" i hjemmenettverket. Les mer).
For eksempel kan et ordboksangrep prøve et antall vanlige passord før du går inn i en standard brute force attack, som “passord,” “mitt passord,” “slipp meg inn,” og så videre. Eller det kan legge til “2016” på slutten av alle passordene du prøver før du går inn på neste passord.
Ulike metoder for bruk av brute force-angrep finnes, men de er alle avhengige av å prøve et stort antall passord så raskt som mulig til den rette er funnet. Noen krever mer databehandlingskraft, men lagrer i tide; Noen er raskere, men krever en større mengde lagring som skal brukes under angrepet.
Hvor brute Force Attacks er farlige
Brutte kraftangrep kan brukes på alt som har et passord eller en krypteringsnøkkel, men mange steder der de kunne brukes, har implementert effektive motforanstaltninger mot dem (som du vil se i neste avsnitt).
Du er i den største faren fra et brutalt kraftangrep hvis du mister dataene dine, og en hacker får tak i det - når det er på datamaskinen, kan noen av de beskyttelsene som er på plass på maskinen din eller på nettet omgå.
Hvordan kan en feilperson få dataene dine på datamaskinen sin? Du kan miste en flash-stasjon, kanskje ved å legge den i lommen på klærne dine, som du sendte til en renser, som de 4.500 flash-stasjonene som ble funnet i 2009 i Storbritannia. Eller, som de andre 12.500 enhetene du finner, kan du legge en telefon eller en bærbar datamaskin i en drosje. Det er en enkel ting å gjøre.
Eller kanskje noen kunne laste ned noe fra en skygtjeneste fordi du delte en usikker, forkortet lenke Er forkortede koblinger som kompromitterer sikkerheten din? Er forkortede lenker kompromittert med sikkerheten din? En nylig studie viste at brukervennligheten av URL shorteners som bit.ly og goo.gl kunne komme med en betydelig risiko for sikkerheten din. Er det på tide å slutte verktøy for nettverksforkortelse? Les mer . Eller kanskje du har rammet noe ransomware som ikke bare låst datamaskinen, men også stjal noen av filene dine.
Poenget med alt dette er at brute force-angrep ikke er effektive noen steder, men det er mange måter de kan distribueres mot dine data. Den beste måten å hindre at dataene dine kommer på en hackers datamaskin, er å holde nøye oversikt over hvor enhetene dine (spesielt flash-stasjoner!) Er.
Beskytter mot brute Force Attacks
Det finnes en rekke forsvarsområder som nettsteder eller apper kan bruke mot brute force-angrep. En av de enkleste og mest brukte er lockout: Hvis du angir et feil passord et bestemt antall ganger, blir kontoen låst, og du må kontakte kundeservice eller IT-avdelingen din. Dette stopper et brutalt kraftangrep i sporene.
En lignende taktikk kan brukes med en CAPTCHA-utfordring Alt du noen gang ønsket å vite om CAPTCHAs, men var redd for å spørre [Teknologi forklart] Alt du noen gang ønsket å vite om CAPTCHAs, men var redd for å spørre [Teknologi forklart] Elske dem eller hate dem - CAPTCHAer har blitt allestedsnærværende på Internett. Hva i all verden er en CAPTCHA uansett, og hvor kom det fra? Ansvarlig for øyebelastning verden over, den ydmyke CAPTCHA ... Les mer eller andre lignende oppgaver. Ingen av disse metodene vil virke mot et motsatt brutalt kraftangrep, da det bare vil mislykkes en passordprøve en gang for hver konto.
En annen metode som kan brukes til å forhindre disse angrepene (både standard og revers) er tofaktorautentisering. Hva er tofaktorautentisering, og hvorfor du bør bruke det Hva er tofaktorautentisering, og hvorfor du bør bruke det To-faktor Autentisering (2FA) er en sikkerhetsmetode som krever to forskjellige måter å bevise din identitet på. Det brukes vanligvis i hverdagen. For eksempel å betale med et kredittkort krever ikke bare kortet, ... Les mer (2FA); Selv om en hacker gjetter det riktige passordet, vil kravet om en annen kode eller innspilling stoppe et angrep selv om det gjetter det riktige passordet. Heldigvis inneholder flere og flere tjenester 2FA-lås ned disse tjenestene nå med tofaktorautentisering Lås ned disse tjenestene nå med tofaktorautentisering Tofaktorautentisering er den smarte måten å beskytte dine elektroniske kontoer på. La oss ta en titt på noen av tjenestene du kan låse ned med bedre sikkerhet. Les mer i deres systemer. Det kan være et problem Kan to-trinns verifisering være mindre irriterende? Fire hemmelige hacker garantert for å forbedre sikkerheten Kan to-trinns verifisering være mindre irriterende? Fire hemmelige hacker garantert for å forbedre sikkerheten Ønsker du kollisikker kontosikkerhet? Jeg foreslår sterkt å aktivere det som kalles "to-faktor" -autentisering. Les mer, men det vil beskytte deg mot mange angrep.
Det er verdt å merke seg at mens disse taktikkene er gode for å unngå brute force-angrep, kan de også brukes til å angripe et nettsted på andre måter. For eksempel, hvis et brute force-angrep startes mot et nettsted som låser kontoer etter fem feilforsøk, kan kundeserviceteamet bli oversvømmet med samtaler, og senke nettstedet. Det kan også bli ansatt som en del av et distribuert tjenestenektangrep. Hva er et DDoS-angrep? [MakeUseOf Forklarer] Hva er et DDoS-angrep? [MakeUseOf Forklarer] Begrepet DDoS plystre forbi når cyberaktivisme reagerer opp hodet en masse. Disse typer angrep gjør internasjonale overskrifter på grunn av flere grunner. Problemene som hopper på de DDoS-angrepene er ofte kontroversielle eller svært ... Les mer .
Langt den enkleste måten å beskytte deg mot en brute force attack er å bruke et langt passord. Etter hvert som lengden på et passord øker, vokser den beregnende kraften som trengs for å gjette alle mulige tegnkombinasjoner, veldig raskt. I et papir om sikkerhetsrisikoen for URL-kortavbrennere viste forskerne hvordan fem-, seks- og syv tegn-symboler var enkle å gjette, men 11- og 12 tegn-symboler var nesten umulige.
Du kan bruke samme logikk til passordene dine. Bruk sterke passord 6 Tips for å lage et ubrytelig passord som du kan huske 6 tips for å lage et ubrytelig passord som du kan huske Hvis passordene dine ikke er unike og ubrydelige, kan du også åpne frontdekselet og invitere røvere til lunsj. Les mer, og du vil være alt annet enn immun mot brutale kraftangrep.
Et overraskende effektivt angrep
For hvor enkelt og inelegant er det - det kalles “brute force” av en grunn, tross alt - denne typen angrep kan være overraskende effektivt for å få tilgang til passordbeskyttede og krypterte områder. Men nå som du vet hvordan angrepet fungerer og hvordan du kan beskytte deg selv mot det, bør du ikke ha mye å bekymre deg for!
Bruker du tofaktorautentisering? Er du klar over andre gode forsvar mot brute force angrep? Del dine tanker og tips nedenfor!
Bildekreditter: TungCheung via Shutterstock, cunaplus via Shutterstock.
Utforsk mer om: Datasikkerhet, Online-sikkerhet, Passord.