Internet hacks: atacuri de forță brută și cum să le oprim

Internet-ul are acces la internet

Un atac cu forțe brute, numit și căutare exhaustivă a cheilor, este în esență un joc de ghicire și poate fi executat împotriva oricărui tip de sistem de autentificare.

Cheile de criptare sunt deosebit de vulnerabile la atacurile cu forțe brute, deoarece nu există o modalitate simplă de a limita numărul de presupuneri pe care un atacator le poate face pentru a-l crăpa. Prin urmare, este posibil să continuați să introduceți fiecare parolă posibilă până când se întâmplă cea corectă.

Coduri de acces simple simple

Lungimea și complexitatea unei parole ne permit să calculăm câte presupuneri ar trebui să le creăm.

De exemplu, un cod tipic de ușă format din patru cifre ar avea 10.000 de combinații diferite, de la 0000 la 9999. Este ușor să calculăm că dacă parolele sunt introduse la întâmplare, codul ușii corecte are o șansă de 50% de a fi ghicit în 5.000 de încercări..

În timp ce poate fi înfricoșător să introducem atât de multe chei diferite pentru un om, am putea construi un mic braț robot care să o facă pentru noi, sau chiar să găsim o modalitate de a introduce codurile electronic. Dacă este nevoie de micul nostru braț robot pentru o secundă pentru a introduce un cod, am putea deschide orice astfel de ușă în 167 de minute – mai puțin de trei ore.

protejați-vă de forța brutăLimitarea numărului de ghici permise pentru o parolă.

Crearea sistemelor mai sigure prin limitarea numărului de ghiciri

Există câteva modalități de a face ușa mai sus securizată. Am putea, de exemplu, să permitem doar trei ghiciri înainte ca cititorul codului ușii să fie blocat în interiorul unei cutii care necesită deschiderea unei chei fizice. Șansa de a ghici corect codul ușii corecte va fi apoi redusă la 0,3%, un număr suficient de mic pentru a spera să oprim un atacator.

Cardurile bancare folosesc adesea acest mecanism; după un anumit număr de încercări eșuate, bancomatul va păstra cardul utilizatorului.

De asemenea, de multe ori, cardurile SIM pentru telefon permit doar un număr limitat de ghiciri cu parolă, după care este necesară o cheie de deblocare PIN mult mai lungă (PUK) pentru a accesa cardul din nou.

Dezavantajul acestui lucru este inconvenientul. Un sistem de coduri de acces secundar va face ca blocarea ușii, cardul bancar sau telefonul să fie inutilizabile pentru o anumită perioadă de timp. De asemenea, dacă PUK-ul nu este stocat în siguranță, ar putea prezenta un risc cu totul nou pentru securitate.

Un sistem alternativ este de a permite doar un anumit număr de ghiciri cu parolă pe minut. Dacă puteți încerca să deblocați ușa menționată anterior o dată pe minut, de exemplu, până la 167 de ore ar trebui să se deschidă ușa. Este aproape exact o săptămână și, cel mai probabil, este suficient ca un atacator să nu se deranjeze să încerce – sau suficient de mult pentru ca proprietarii de drept să detecteze atacul.

Nimic nu poate limita numărul de ghiciri pentru cheile de criptare

Limitarea încercărilor de parolă este viabilă numai pentru un dispozitiv sau serviciu online. Dacă atacatorul are acces la un fișier criptat sau dacă atacatorul a interceptat comunicările criptate, nu există nimic care să limiteze numărul de presupuneri pe care le pot face.

Singura opțiune în astfel de cazuri este creșterea lungimii codului de acces, făcând-o mai sigură. Pentru fiecare cifră adăugată la o parolă, devine de zece ori mai mult timp pentru a ghici. Un cod de ușă format din șase cifre, de exemplu, ar avea nevoie de aproape 12 zile pentru a crăpa la o bănuială pe secundă.

Crearea de coduri de acces mai lungi costă, cu toate că acestea devin din ce în ce mai greu de reținut. Iar când vine vorba de ghicirea pură, calculatoarele pot ghici cu ușurință un miliard de numere pe secundă, deci codurile de acces trebuie să fie extrem de lungi. O parolă de 18 cifre ar dura un an pentru a ghici un computer, dar puteți să vă amintiți un cod atât de mult?

Complexitatea este la fel de importantă ca și lungimea

Permiterea codurilor de acces mai complexe îmbunătățește considerabil securitatea. Dacă permitem doar numere, există doar zece înregistrări posibile pe fiecare cifră (0-9). În plus, permiterea literelor minuscule crește acest lucru la 36 de intrări pe cifră (0-9, a-z). Adăugarea literelor majuscule va crește până la 62 de intrări pe cifră (0-9, a-z, A-Z).

Utilizarea tabelului Unicode original (setul de caractere latine) va crește în continuare fiecare cifră la 95 de intrări posibile. Permiterea altor scripturi, precum araba sau greaca, crește rapid acest număr și mai mult.

Există peste 120.000 de caractere, simboluri și emoji în setul Unicode curent, toate putând fi utilizate pentru o parolă bună. Doar folosirea oricăruia dintre aceste caractere produce împreună o parolă cu peste 14 miliarde de posibilități diferite. Adăugarea unei treimi face ca acesta să fie un sfert de posibilități.

Dacă presupunem că un computer poate ghici un miliard de parole pe secundă, ar trebui să treacă peste un milion de secunde pentru a găsi o parolă cu trei caractere folosind setul Unicode – aproximativ 12 zile. Crearea parolelor mai complexe este la fel de puternică ca să le faci mai lungi, dar în general sunt mult mai ușor de reținut.

utilizați un manager de paroleOamenii sunt incapabili să fie întâmplători.

Randomul este important, dar oamenii sunt răi la întâmplare

În realitate, parolele sunt rareori întâmplătoare. Oamenii nu reușesc sistematic să aducă parole cu adevărat aleatorii, ceea ce face posibilă unele variații ale atacului cu forța brută.

De exemplu, putem alege singure cuvinte populare atunci când ni se cere să creăm o parolă, reducând mult complexitatea parolelor noastre. Deși există 300 de milioane de combinații posibile pentru o parolă de șase litere, chiar dacă permitem doar litere mici, atacatorii vor începe cu cele mai utilizate cuvinte în engleză, care adesea obțin rezultate. Un astfel de atac se numește a atac de dicționar.

Un atac de dicționar este adesea combinat cu cunoașterea parolelor cele mai utilizate. Știm popularitatea anumitor parole de la încălcările anterioare ale parolelor. Parola 1234, de exemplu, deblochează peste 10% din toate telefoanele. Parolele 1111 și 0000, încă 8%.

Având în vedere trei încercări de a sparge o parolă, în teorie, există un 0,3% din fisurarea parolei, dar, în practică, este mai aproape de 18%.

Ar trebui să crească mult complexitatea unei parole atunci când anumite litere sunt înlocuite cu caractere speciale, cum ar fi „Pa $$ w0rd”. Cu toate acestea, modul în care oamenii înlocuiesc aceste litere este destul de previzibil și nu adaugă multă întâmplare. Este ușor să ghiciți înlocuirile populare, cum ar fi e -> 3, a -> @, o -> 0 sau s -> $, apoi verifică aceste. Acest lucru este adesea denumit substituirea caracterului.

Dacă un computer sau un atacator au ocazia să învețe despre utilizator, acesta poate reduce foarte mult numărul de încercări necesare pentru a sparge parola. Multe persoane își adaugă datele de naștere sau anii de naștere la parole. Alții folosesc numele soției, copilului sau animalului de companie. Unii ar putea valorifica anumite caractere sau, pur și simplu, să includă adresa URL a site-ului pentru care folosesc parola respectivă – lucruri pe care un atacator le poate ghici cu ușurință.

O formulă comună pentru o parolă este un cuvânt care începe cu o litere mare, urmată de un număr și care se termină cu un caracter special, EG Word1111 !. Dacă un atacator obține cunoștințe despre ținta sa, acesta ar putea folosi acest tipar, dar înlocuiește conținutul cu informații pertinente pentru victimă. Aceasta se numește verificarea modelului.

Cea mai bună protecție este o parolă puternică, aleatorie

Limitarea numărului de presupuneri pe secundă sau numărul total de ghicitori înainte ca un cont să fie blocat, face un drum lung pentru a vă proteja de atacurile cu forțe brute.

Cu cheile de criptare, aceste limitări nu sunt posibile, astfel încât cea mai bună modalitate de a vă apăra împotriva unui atac cu forțe brute este să folosiți un generator de parole aleatoriu, fie ca instrument independent sau ca parte a unui manager de parole. Puteți utiliza, de asemenea, tehnica Diceware.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me