Czym są atak Brute Force?
Atak Brute Force to metoda prób i błędów stosowana w celu uzyskania informacji, takich jak hasło użytkownika lub osobisty numer identyfikacyjny (PIN).
Aby to zobrazować, oto, czym jest atak siłowy w realistycznym scenariuszu.
Jeśli zapomniałeś trzycyfrowej kombinacji do zamka swojej walizki, możesz, jeśli masz cierpliwość, systematycznie wypróbować każdą kombinację liczb, zaczynając od 000 i metodycznie przechodząc do 999. Jedna z tych kombinacji musi być prawidłowa.
Atak Brute Force na sieć lub komputer jest podobny do tego, z tą różnicą, że zamiast próbować kombinacji cyfr, używa się kombinacji liter i cyfr. Odmianą tej techniki, która jest częściej spotykana w praktyce, jest użycie bardzo długiej listy rzeczywistych haseł i wypróbowywanie ich pojedynczo.
W przypadku walizki oczywiste jest, że zadziała jedna kombinacja trzech cyfr. W przypadku ataku Brute Force nie ma gwarancji, że jedno z haseł na liście zadziała, ani że hasło zostanie przypadkowo odkryte.
Jednak im dłuższa lista haseł, tym większe prawdopodobieństwo, że jedno z nich będzie pasować do hasła konta będącego przedmiotem ataku. Ale jest pewna korzyść. Im dłuższa lista, tym więcej czasu zajmuje jej przepracowanie. Listy haseł mogą być naprawdę bardzo długie.
Techoteka wyjaśnia atak Brute Force
Za każdym razem, gdy dochodzi do naruszenia danych, ujawnione hasła stają się dostępne dla sprawców zagrożeń i są dodawane do list haseł siłowych. Używane są również listy ujawnionych haseł i standardowych słów słownikowych. Obejmuje to więcej kombinacji – i daje atakującym większe szanse na powodzenie – ale wydłuża czas potrzebny na przejrzenie listy.
Prawdopodobieństwo powodzenia ataku siłowego zależy od trzech czynników:
- Czy Twoje hasło jest unikalne.
- Czy Twoje hasło było zaangażowane w naruszenie danych.
- Czy używasz hasła, czy frazy-klucza.
Szczegóły ponad 10 miliardów naruszonych kont są przechowywane na stronie internetowej Have I Been Pwned. Możesz uzyskać dobry pogląd na to, czy Twoje hasło jest unikalne, czy nie, sprawdzając Have I been Pwned. Prawdopodobnie znajdziesz je w bazie danych. Przy tak wielu ujawnionych kontach nieuniknione jest, że będą duplikaty.
Oczywiście, jeśli Twoje hasło znajduje się w bazach danych Have I Been Pwned, nie oznacza to, że jedno z Twoich kont zostało naruszone. Może to oznaczać, ale może to również oznaczać, że konto innej osoby zostało naruszone i że użyła ona tego samego hasła co Ty.
Ataki siłowe można postrzegać jako ataki polegające na tym, że sprawcy zagrożeń mają kopie tysięcy kluczy. Próbują ich po jednym przy Twoich drzwiach. Jeśli któryś z nich pasuje do Twoich drzwi, mogą uzyskać dostęp. Nie ma znaczenia, skąd pochodzi kopia klucza.
Nigdy nie powinieneś używać hasła w więcej niż jednym miejscu. Jeśli to jedno hasło zostanie naruszone, wszystkie Twoje konta zostaną narażone na ryzyko. Jeśli masz zbyt wiele haseł do zapamiętania, użyj menedżera haseł. Dobrym szablonem bezpiecznego hasła są trzy niepowiązane ze sobą słowa połączone znakami interpunkcyjnymi, tworzące frazę hasła.
Jak działają ataki Brute Force?
Ataki Brute Force nie są celem samym w sobie. Są kamieniem milowym w szerszym planie sprawców zagrożeń. Wiele systemów ogranicza liczbę nieudanych prób logowania, co sprawia, że ataki siłowe na te systemy są trudniejsze. Jednak głównymi celami tego typu ataków nie są sieci korporacyjne – przynajmniej nie bezpośrednio.
Technologie zdalnego dostępu użytkowników, takie jak protokół pulpitu zdalnego (RDP) lub Secure Shell (SSH), powinny być skonfigurowane z wymuszonym limitem czasu po określonej liczbie nieudanych prób dostępu lub konto powinno zostać zablokowane, a resetowanie hasła wymuszone. Zamiast tego ataki siłowe są wymierzone w portale korporacyjne, strony internetowe, hostowane aplikacje oraz klucze szyfrujące lub klucze API, aby uzyskać z nich informacje, których można użyć do przeprowadzenia wtórnego ataku na sieć korporacyjną.
Uzyskanie dostępu do strony internetowej firmy umożliwia sprawcy zagrożeń dostęp do dowolnych plików, które nie są szyfrowane. Błędy popełnione podczas projektowania i wdrażania strony internetowej mogą zostać wykorzystane.