Что такое атаки методом грубой силы? Как защититься от них
Если вы читали статьи по безопасности или слышали о серьезных нарушениях, вы, вероятно, слышали термин «атака методом грубой силы». Но вы можете не знать точно, что это значит.
Давайте разберемся, что такое атаки методом перебора, как они обычно работают и как от них защититься.
Основы атак грубой силы
На фундаментальном уровне атака полным перебором действительно проста. Под грубым подбором пароля понимается угадывание всех возможных комбинаций до тех пор, пока вы в конечном итоге не выясните их. И хотя вы можете сделать это вручную, очевидно, что вскоре это станет утомительно.
Таким образом, в большинстве основных атак методом перебора компьютерная программа пытается угадать пароль или ключ шифрования, перебирая все возможные комбинации для определенного количества символов.
Например, предположим, что вы написали утилиту, которая пыталась подобрать пароль iPhone из четырех цифр. Он начнется с угадывания 0000 , затем 0001 , затем 0002 , 0003 и так далее, пока не дойдет до 9999 .
Тот же принцип работает с более сложными паролями. Алгоритм грубой силы, пытающийся взломать пароль, состоящий из шести буквенно-цифровых символов, может начинаться с aaaaaa , aaaaab , aaaaac и т. Д. Затем он перейдет к включению чисел (и, возможно, заглавных букв), например, aabaa1 , aabaa2 , aabaa3 и других. Это будет проходить через все возможные шестизначные комбинации цифр и букв, вплоть до zzzzzz , zzzzz1 и т. Д.
Также существует связанная с этим техника, известная как атака обратным перебором, при которой вы пробуете один общий пароль против множества разных имен пользователей. Это менее распространено и труднее использовать, но позволяет обойти некоторые общие контрмеры (о которых мы поговорим чуть позже).
Ясно, что это не изящный способ угадать пароль. Теоретически, если у вас достаточно вычислительной мощности и времени, вы можете угадать любой пароль с помощью грубой силы. Но если вы пытаетесь взломать что-либо, кроме короткого и простого пароля, атаки методом перебора неэффективны. Чтобы подобрать надежный пароль, потребуются годы и огромные вычислительные мощности.
Как и следовало ожидать, схемы взлома паролей стали более изощренными.
Продвинутые атаки грубой силы
Поскольку атаки методом перебора ограничены при использовании против чего-либо, кроме простых паролей, у хакеров есть способы их улучшить.
Например, словарная атака не просто перебирает все возможные комбинации символов. Вместо этого он использует слова, числа или строки символов из предварительно составленного списка, обычно взятого из чего-то вроде списка часто просачиваемых паролей. Поскольку эти пароли очень распространены, они могут обеспечить вход в другие учетные записи.
Например, словарная атака может попытаться использовать несколько общих паролей , таких как «пароль», «123456», «letmein» и т. Д., Прежде чем перейти к стандартной атаке методом перебора. Или он может добавить текущий год к концу всех паролей, которые он пробует, прежде чем переходить к следующему паролю.
Атаки по словарю значительно сокращают количество редких комбинаций паролей. В этом есть смысл – для базового восьмизначного пароля кто-то с большей вероятностью будет использовать «dogs1234», чем «zp1vg8el». Сосредоточившись в первую очередь на наиболее вероятных комбинациях, вы сможете сократить время, затрачиваемое на брут-форс.
Существуют различные методы использования грубой силы, но все они основаны на том, чтобы как можно быстрее перепробовать огромное количество паролей, пока не будет найден правильный. Некоторым требуется больше вычислительной мощности, но экономится время. Другие быстрее, но требуют большего количества ресурсов во время атаки.
Где опасны грубые атаки
Теоретически атаки методом перебора можно использовать для любой учетной записи или другой платформы, имеющей пароль или ключ шифрования. Но во многих местах, где они могли бы работать, обычно есть эффективные контрмеры против них, как будет рассмотрено ниже.
Вы подвергаетесь наибольшей опасности от атаки методом перебора, если вы потеряете свои данные, и злоумышленник овладеет ими. Если что-то находится на компьютере другого человека, некоторые меры безопасности, действующие на вашем компьютере или в сети, могут быть обойдены.
Как злоумышленник может перенести ваши данные на свой компьютер? Вы можете потерять флешку, когда она выпадет из кармана. Может быть, вы оставите свой телефон в поездке на Убер. Взломанная облачная служба может открыть доступ к некоторым вашим файлам другим людям, или вредоносное ПО может скопировать ваши данные на чужой компьютер без вашего ведома.
Дело в том, что, хотя атаки методом перебора в некоторых местах неэффективны, хакеры все же могут использовать их против ваших данных. Чтобы избежать ситуаций, когда атака методом грубой силы может взломать защиту ваших данных, вам следует внимательно следить за тем, где находятся ваши устройства и файлы.
Защита от атак грубой силы
Существует ряд средств защиты, которые веб-сайты и другие инструменты используют от атак грубой силы, а также способы защиты от них.
Как сервисы защищаются от атак методом грубой силы
Одна из самых простых и часто используемых защит – это блокировка. При этом, если вы введете неправильный пароль определенное количество раз, учетная запись откажется принимать дальнейшие попытки входа в систему. Чтобы повторить попытку, вам нужно связаться со службой поддержки клиентов или подождать определенное время.
Это останавливает атаку методом грубой силы на своем пути – вместо того, чтобы пробовать тысячи комбинаций за минуты, необходимость ждать 10 минут или час, чтобы продолжить попытки, отпугнет потенциального хакера.
Веб-сайты также могут сдерживать атаки методом перебора с помощью проверки CAPTCHA или аналогичного. Необходимость заполнять CAPTCHA каждый раз, когда вы хотите попробовать пароль, значительно замедляет процесс, сводя на нет суть.
Однако ни один из этих методов не сработает против обратной атаки полным перебором. Эти атаки не проходят проверку пароля только один раз для каждой учетной записи, что, вероятно, будет недостаточно для срабатывания защиты.
Стоит отметить, что, хотя эти тактики отлично подходят для предотвращения атак методом грубой силы, они также предоставляют другие способы атаки на сайт. Например, если атака методом перебора запускается против сайта, который блокирует учетные записи после пяти неправильных попыток, его служба поддержки клиентов может получить поток звонков от законных пользователей, что замедлит ее работу.
Подавление сайта попытками перебора также может быть использовано как часть распределенной атаки типа «отказ в обслуживании» .
Как защитить себя от атак грубой силы
Двухфакторная аутентификация – это мощный способ защитить себя от атак грубой силы, как стандартных, так и обратных. При двухфакторной аутентификации (2FA), даже если хакер угадывает правильный пароль, необходимость ввода другого кода не позволит злоумышленнику получить доступ к вашей учетной записи.
Однако, безусловно, самый простой способ защитить себя от атаки методом перебора – использовать длинный пароль. По мере увеличения длины пароля вычислительная мощность, необходимая для угадывания всех возможных комбинаций символов, растет в геометрической прогрессии.
Рассмотрим предыдущий пример кода доступа для iPhone. В более старых версиях iOS использовался четырехзначный PIN-код, который имеет 10 000 возможных комбинаций. Однако современные версии iOS по умолчанию используют шестизначный пароль. Это увеличивает количество возможных комбинаций до миллиона.
В любом случае маловероятно, что кто-то сможет на самом деле подобрать пароль вашего iPhone, частично из-за блокировки, которая происходит после нескольких неправильных догадок. Но вы можете видеть, что добавление всего двух цифр увеличивает коэффициент защиты в 100 раз.
Помимо длины, сложные пароли намного сложнее подобрать. Если кто-то хотел взломать пароль и знал, что в нем только строчные буквы, он мог пропустить множество возможных комбинаций. Но та же самая длина пароля с добавленными числами, прописными буквами и символами увеличит время перебора пароля на несколько порядков.
Используйте безопасные пароли – в идеале с менеджером паролей, чтобы вам не приходилось запоминать их все – и вы будете практически неуязвимы для атак грубой силы. 12-значный пароль, в котором используются прописные и строчные буквы, цифры и набор из 18 символов, будет иметь более 68 секстиллионов. На это потребуются столетия, чтобы применить грубую силу.
В некоторых случаях атаки методом грубой силы могут быть эффективны
Эти виды атак просты и неизящны – в конце концов, название «грубая сила» не зря. Теперь вы знаете, как работают атаки методом перебора и как от них защититься, так что вам не о чем беспокоиться.
Используйте надежные пароли и не позволяйте вашим данным попадать в места, где они не защищены от взлома. Однако не забывайте, что есть и другие способы взлома паролей.