Ataki z użyciem siły brutalnej są wystarczająco proste do zrozumienia, ale trudne do przeciwdziałania. Nawet skomplikowany system kryptograficzny może dziś zostać wymuszony przez atak brutalnej siły (lub brutalną siłę) przeprowadzany przez serię szybkich komputerów.
Te brutalne ataki mogą być przeprowadzane przeciwko dowolnemu rodzajowi szyfrowania, a stają się one szybsze i bardziej skuteczne za każdym razem, gdy produkowanych jest coraz więcej potężnych komputerów.
Ataki typu „brute-force” lub „brutalna siła” w dziedzinie IT są dość łatwe do zrozumienia.
Mając program chroniony hasłem, haker, który chce go rozszyfrować, zaczyna szeregowo wypróbowywać każdą kombinację znaków, symboli, liter lub cyfr, aż do znalezienia odpowiedniego klucza.
Oczywiście próby te nie są podejmowane ręcznie, lecz automatycznie za pomocą programu komputerowego, który jest tak szybki, jak używany komputer.
Atak brutalnej siły rozpoczyna się od kluczy jednej postaci, a następnie od dwóch i tak dalej, aż będzie to możliwe.
Atak słownikowy jest podobny do brutalnej siły, ale szuka słów zapisanych w słowniku, który jest listą typowych haseł .
W praktyce zamiast wypróbować wszystkie możliwe kombinacje haseł, wypróbowujemy słowa najczęściej używane przez ludzi, takie jak na przykład imiona, nazwy miast, nazwiska piłkarzy, lata i daty itd.
Pamiętaj, że hasła i klucze szyfrujące to różne rzeczy: klucz jest generowany w całkowicie losowy sposób, a hasło należy zapamiętać i wprowadzić ręcznie, aby było to prostsze słowo.
Znalezienie klucza szyfrowania jest trudne i wymaga ataku Brute Force, podczas gdy hasła można znaleźć przy użyciu prostych ataków słownikowych.
Ataki typu brute force nie działają na stronach internetowych .
Istnieje wyraźna różnica między atakiem siłowym online i offline.
Na przykład, jeśli osoba atakująca chce ukraść moje hasło do Gmaila, nie może znaleźć mojego hasła, próbując różnych kombinacji na stronie Gmaila, ponieważ Google mu zapobiega.
W rzeczywistości po kilku próbach blokuje dostęp, prosząc o wprowadzenie kodu Captcha, aby uniemożliwić niektórym programom automatycznym próbę dostępu.
Usługi, które zapewniają dostęp do kont online, a także Facebook, przerywają próby dostępu oraz tych, którzy próbują zalogować się zbyt wiele razy, myląc hasła.
Z drugiej strony, jeśli haker miał dostęp do komputera, który ma program do zarządzania hasłami z zaszyfrowanym kluczem, może mieć cały czas na uruchomienie ataku siłowego lub słownikowego, utrzymując go do momentu znalezienia hasła.,
Nie ma sposobu, aby zapobiec wypróbowaniu dużej liczby haseł w krótkim czasie.
Teoretycznie żadne szyfrowanie nie jest niepokonane, nawet jeśli przełamanie najcięższych odporności może potrwać nawet miesiąc.
hashujący
Silne algorytmy mieszające mogą spowolnić ataki siłowe.
Te algorytmy skrótu, takie jak SHA1 i MD5, wykonują dodatkową pracę matematyczną nad hasłem przed jego zapisaniem.
Brutalny atak będzie znacznie wolniejszy dzięki szyfrowaniu hashowemu.
Szybkość ataku Brute-Force zależy całkowicie od używanego sprzętu.
Agencje wywiadowcze mogą budować tylko specjalistyczny sprzęt do wyszukiwania kluczy szyfrujących.
Zgodnie ze wskazówkami na stronie internetowej Ars Tecnica, grupa 25-GPU może złamać każde hasło systemu Windows do 8 znaków w mniej niż sześć godzin. Zastosowany algorytm Microsoft NTLM nie jest już wystarczająco odporny, ale był w czasie, w którym został stworzony.
Chroń nasze dane przed atakami siłowymi.
Nie ma sposobu, aby całkowicie się zabezpieczyć, ale jest mało prawdopodobne, aby ktoś wyrzucił na nas ataki brutalnej siły, zwykli śmiertelnicy.
Nie ma więc potrzeby martwić się zbytnio o tak złożone cyberataki.
W każdym razie ważne jest, aby zachować bezpieczeństwo zaszyfrowanych danych, starając się nie pozwolić nikomu na dostęp do nich i używać samodzielnie wygenerowanych bezpiecznych haseł (a zatem kluczy szyfrowania)
Problemem jest raczej obrona przed atakami inżynierii społecznej w celu kradzieży danych osobowych i defraudacji, które nie opierają się bardziej na technice niż na pomysłowości i przebiegłości.
Na przykład, nigdy nie otwieraj wiadomości e-mail z prośbą o dostęp do naszego konta bankowego przez Internet w celu zabezpieczenia go lub zatwierdzenia nowych zasad.
Po drugie, zawsze ważne jest, aby używać złożonych haseł i postępować zgodnie z poradami, aby wygenerować silne hasło dla wszystkich stron internetowych, aby można je było zapamiętać.
Zawsze możesz użyć programu takiego jak LastPass lub KeePass do centralnego zarządzania hasłami, obejmującego wszystkie hasła kluczem szyfrującym.
