19Aug
Напади бруте-силе су прилично једноставни за разумевање, али је тешко заштитити.Шифрирање је математика, а док рачунари постају бржи у математици, постају бржи када покушавају сва рјешења и виде који се уклапа.
Ови напади могу се користити против било које врсте енкрипције, са различитим степеном успјеха.Напади бруте-силе постају бржи и ефикаснији са сваким даном пошто се пуштање новијег, бржег рачунарског хардвера.
Бруте-Форце Основе
Бруте-форце напади су једноставни за разумевање.Нападач има шифровану датотеку - рецимо, вашу базу података за лозинку ЛастПасс или КееПасс.Они знају да ова датотека садржи податке које желе видјети и знају да постоји кључ за шифровање који га откључава.Да би га дешифровали, они могу почети да покушавају сваку појединачну лозинку и видеју да ли то доводи до дешифриране датотеке.
То аутоматски раде са рачунарским програмом, тако да се брзина којом се неко може брутално сила шири, док се расположиви рачунарски хардвер постаје бржи и бржи, способан да ради више калкулација у секунди.Напад бруталне силе највероватније ће почети са једноцифреном лозинком пре него што пређе на двоцифрене лозинке и тако даље, покушавајући све могуће комбинације све док неко не ради.
"речник напада" је сличан и покушава ријечи у рјечнику - или листу заједничких лозинки - умјесто свих могућих лозинки.Ово може бити врло ефикасно, пошто многи користе те слабе и уобичајене лозинке.
Зашто нападачи не могу да учествују у мрежним услугама Бруте-Форце
Постоји разлика између он-лине и оффлине напади бруте-силе.На пример, ако нападач жели да брзо присили свој пут у ваш Гмаил рачун, они могу почети да покушавају сваку појединачну лозинку - али ће Гоогле брзо прекинути.Услуге које обезбеђују приступ таквим налозима ће гурати покушаје приступа и забранити ИП адресе које покушавају да се пријављују толико пута.Стога, напад на онлине услугу не би деловао превише добро, јер се може учинити врло мало покушаја пре него што би напад био заустављен.
На пример, након неколико неуспелих покушаја пријављивања, Гмаил ће вам показати ЦАТПЦХА слику како би потврдили да нисте рачунар који аутоматски покушава лозинке.Они ће вероватно зауставити покушај пријављивања ако сте успели да наставите довољно дуго.
Са друге стране, рецимо да је нападач прегазио шифрирану датотеку са вашег рачунара или је успео да угрози онлине услугу и преузме такве шифроване датотеке.Нападач сада има шифроване податке на свом хардверу и може покушати што више лозинки колико жели у њиховом слободном времену.Ако имају приступ шифрованим подацима, не постоји начин да их спречава да пробају велики број лозинки у кратком временском периоду.Чак и ако користите снажну енкрипцију, у вашој је корист да сачувате своје податке и осигурате да други не могу приступити њој.
Хасхинг
Стронг хасхинг алгоритми могу успорити нападе бруте-форце.У суштини, алгоритми хашиша обављају додатни математички рад на лозинкама пре складиштења вредности изведене из лозинке на диску.Ако се користи спорији алгоритам хашиша, то ће захтевати хиљадама пута више математичког рада за покушавање сваке лозинке и драматично успоравање напада бруталне силе.Међутим, што је више посла потребно, више рада који сервер или други рачунар мора урадити сваки пут када се корисник пријављује са својом лозинком.Софтвер мора балансирати отпорност према напади бруте силе уз употребу ресурса.
бруте-форце брзина
Брзина све зависи од хардвера.Обавештајне агенције могу изградити специјализовани хардвер само за нападе на бруталну силу, баш као и рудари Битцоин-а који граде сопствени специјализовани хардвер оптимизован за Битцоин мининг.Када је у питању потрошачки хардвер, најефикаснији тип хардвера за бруталне нападе је графичка картица( ГПУ).Како је лако пробати много различитих кључева за шифровање одједном, многе графичке картице које раде паралелно су идеалне.
Крајем 2012. године, Арс Тецхница је објавио да би 25-ГПУ кластер могао да разбије сваки Виндовс лозинку испод 8 знакова за мање од шест сати.НТЛМ алгоритам који је Мицрософт користио није био довољно флексибилан.Међутим, када је НТЛМ креиран, потребно је много времена да се пробају све ове лозинке.Ово се није сматрало довољно за претњу Мицрософт-у да ојача шифровање.
Брзина се повећава, а за неколико деценија можемо открити да чак и најснажнији криптографски алгоритми и кључеви за шифровање које данас користимо може брзо да се испразне помоћу квантних рачунара или било ког другог хардвера који користимо у будућности.
Заштита Ваших података од напада на Бруте-Форце
Нема начина да се потпуно заштитите.Немогуће је рећи колико брзо ће се рачунарски хардвер добити и да ли неки од алгоритама за шифровање које користимо данас имају слабости које ће бити откривене и експлоатисане у будућности.Међутим, овдје су основе:
- Држите своје шифроване податке на сигурном месту где нападачи не могу приступити њему.Једном када су ваши подаци копирани на свој хардвер, они могу да пробају нападе на бруталну силу на свој одмор.
- Ако покрећете било коју услугу која прихвата пријаве преко Интернета, уверите се да ограничава покушаје пријаве и блокира људе који покушавају да се пријављују са много различитих лозинки у кратком временском периоду.Серверски софтвер је обично подешен да то учини из кутије, јер је то добра безбедносна пракса.
- Користите снажне алгоритме за шифровање, као што је СХА-512.Осигурајте да не користите старе алгоритме за шифровање са познатим слабостима које се лако могу покварити.
- Користите дугачке, сигурне лозинке.Сва технологија шифровања на свету неће помоћи ако користите "лозинку" или икад популарну "хунтер2".
Напади Бруте-форце су нешто што треба бити забринуто приликом заштите ваших података, бирања алгоритама за шифровање и бирања лозинки.Они су такође разлог да се развијају јачи криптографски алгоритми - енкрипција мора наставити са брзином постојања неефикасног новог хардвера.
Имаге Цредит: Јохан Ларссон на Флицкр, Јереми Госнеи