19Aug

Brute Force Attacks Förklarade: Hur All Kryptering är Sårbar

nyckel-i-lås

Brutta kraftattacker är ganska enkla att förstå, men svåra att skydda mot. Kryptering är matte, och när datorer blir snabbare vid matematik blir de snabbare när man försöker alla lösningar och ser vilken som passar.

Dessa attacker kan användas mot alla typer av kryptering, med varierande grad av framgång. Brutta kraftattacker blir snabbare och effektivare med varje dag som går, eftersom nyare, snabbare datormaskinvara släpps.

Brute-Force Basics

Brute-force attacker är enkla att förstå.En angripare har en krypterad fil - säg din LastPass eller KeePass lösenordsdatabas. De vet att den här filen innehåller data som de vill se, och de vet att det finns en krypteringsnyckel som låser upp den. För att dekryptera det kan de börja prova varje enskilt lösenord och se om det resulterar i en dekrypterad fil.

De gör det automatiskt med ett datorprogram, så den hastighet som någon kan brutal kraft kryptering ökar, eftersom tillgänglig maskinvara blir snabbare och snabbare, som kan göra mer beräkningar per sekund. Bruttenkraft attack skulle troligtvis börja med ensiffriga lösenord innan du flyttar till tvåsiffriga lösenord och så vidare, försöker alla möjliga kombinationer tills en fungerar.

En "ordboksattack" är liknande och försöker ord i en ordlista - eller en lista med vanliga lösenord - istället för alla möjliga lösenord. Detta kan vara mycket effektivt, så många använder sådana svaga och vanliga lösenord.

Varför attacker inte kan brute-Force Web Services

Det finns en skillnad mellan online och offline brute-force attacker. Om till exempel en angripare vill brute-kraften in i ditt Gmail-konto kan de börja prova varje enskilt lösenord - men Google kommer snabbt att skära av dem. Tjänster som ger tillgång till sådana konton kommer att försöka få tillgång till gaspedaler och förbjuda IP-adresser som försöker logga in så många gånger. Således skulle en attack mot en onlinetjänst inte fungera för bra eftersom det inte kan göras mycket få försök innan attacken skulle stoppas.

Efter några misslyckade inloggningsförsök visar Gmail dig en CATPCHA-bild för att verifiera att du inte är en dator som automatiskt försöker lösenord. De kommer sannolikt att stoppa dina inloggningsförsök helt om du lyckades fortsätta tillräckligt länge.

gmail-captcha

Å andra sidan, låt oss säga att en angripare snagged en krypterad fil från datorn eller lyckades kompromissa med en onlinetjänst och ladda ner sådana krypterade filer. Attackeren har nu krypterad data på egen maskinvara och kan försöka så många lösenord som de vill ha på fritiden. Om de har tillgång till krypterade data finns det inget sätt att förhindra att de försöker ett stort antal lösenord på kort tid.Även om du använder stark kryptering, är det till din fördel att hålla dina data säkra och se till att andra inte kan komma åt den.

Hashing

Starka hashingalgoritmer kan sakta ner brutal force attacker. I huvudsak utför hashingalgoritmer ytterligare matematiskt arbete på ett lösenord innan du lagrar ett värde som härrör från lösenordet på disken. Om en långsammare hash-algoritm används, kommer det att kräva tusentals gånger så mycket matematiskt arbete för att prova varje lösenord och dramatiskt sakta ner brute-force attacker. Men desto mer arbete krävs, ju mer arbete en server eller annan dator måste göra varje gång användaren loggar in med sitt lösenord. Programvaran måste balansera motståndskraft mot brutta kraftattacker med resursanvändning.

Brute-Force Speed ​​

Hastighet beror allt på maskinvara. Intelligensbyråer kan bygga specialiserad hårdvara bara för brutna våldsattacker, precis som Bitcoin-gruvarbetare bygger sin egen specialiserade hårdvara optimerad för Bitcoin-gruvdrift. När det gäller konsumentvaror är den mest effektiva typen av hårdvara för brute-force attacker grafikkort( GPU).Eftersom det är lätt att prova många olika krypteringsnycklar samtidigt, är många grafikkort som kör parallellt idealiska.

I slutet av 2012 rapporterade Ars Technica att ett 25-GPU-kluster skulle kunna spricka varje Windows-lösenord under 8 tecken på mindre än sex timmar. Den NTLM-algoritm som Microsoft använde var inte tillräckligt fjädrande. Men när NTLM skapades skulle det ha gått mycket längre att prova alla dessa lösenord. Detta ansågs inte tillräckligt för ett hot mot Microsoft för att göra krypteringen starkare.

Hastigheten ökar, och inom några decennier kan vi upptäcka att även de starkaste kryptografiska algoritmerna och krypteringsnycklarna vi använder idag kan snabbt knäckas av kvantdatorer eller vilken annan hårdvara vi använder i framtiden.

25-gpu-lösenord-cracking-cluster

Skydda dina data mot brutna våldsattacker

Det finns inget sätt att skydda dig helt. Det är omöjligt att säga hur snabbt datormaskinen kommer att få och om någon av de krypteringsalgoritmer vi använder idag har svagheter som kommer att upptäckas och utnyttjas i framtiden. Men här är grunderna:

  • Håll din krypterade data säker där attacker inte kan få tillgång till det. När de har fått dina data kopierade till sin hårdvara kan de försöka brutala våldsattacker mot det på egen hand.
  • Om du kör någon tjänst som accepterar inloggningar via Internet, se till att det begränsar inloggningsförsök och blockerar personer som försöker logga in med många olika lösenord på kort tid. Serverprogramvara är vanligtvis inställd på att göra detta ur lådan, eftersom det är en bra säkerhetspraxis.
  • Använd starka krypteringsalgoritmer, till exempel SHA-512.Se till att du inte använder gamla krypteringsalgoritmer med kända svagheter som är lätta att knäcka.
  • Använd långa, säkra lösenord. All krypteringsteknik i världen kommer inte att hjälpa till om du använder "lösenord" eller den alltid populära "hunter2".

Brutta kraftattacker är något att vara oroad över när du skyddar dina data, väljer krypteringsalgoritmer och väljer lösenord. De är också en anledning att fortsätta att utveckla starkare kryptografiska algoritmer - kryptering måste hålla fast vid hur snabbt det blir gjort ineffektivt av ny maskinvara.

Bildkredit: Johan Larsson på Flickr, Jeremy Gosney