Disse angrepene kan brukes mot alle typer kryptering, med varierende grad av suksess. Brute Force-angrep blir raskere og mer effektive med hver dag som går, da nyere, raskere maskinvare blir utgitt.
Brute-Force Basics
Brute-force angrep er enkle å forstå. En angriper har en kryptert fil - si LastPass eller KeePass passorddatabasen. De vet at denne filen inneholder data de vil se, og de vet at det finnes en krypteringsnøkkel som låser den opp. For å dekryptere det, kan de begynne å prøve hvert eneste mulig passord og se om det resulterer i en dekryptert fil.
De gjør dette automatisk med et dataprogram, slik at hastigheten der noen kan brute-force kryptering øker ettersom tilgjengelig maskinvare blir raskere og raskere, i stand til å gjøre flere beregninger per sekund. Brute Force-angrepet vil sannsynligvis starte med ensifret passord før du flytter til tosifrede passord og så videre, prøver alle mulige kombinasjoner til en fungerer.
Et "ordbokangrep" er lik og prøver ord i en ordbok - eller en liste over vanlige passord - i stedet for alle mulige passord. Dette kan være veldig effektivt, så mange bruker slike svake og vanlige passord.
Hvorfor angripere ikke kan brute-Force webtjenester
Det er en forskjell mellom online og offline brute-force angrep. For eksempel, hvis en angriper ønsker å brute-force seg inn i Gmail-kontoen din, kan de begynne å prøve hvert eneste mulig passord - men Google vil raskt kutte dem av. Tjenester som gir tilgang til slike kontoer, vil forsøke tilgang på gasspor og forby IP-adresser som prøver å logge inn så mange ganger. Dermed ville et angrep mot en onlinetjeneste ikke fungere for godt, fordi det kan gjøres svært få forsøk før angrepet stoppes.
For eksempel, etter noen få mislykkede påloggingsforsøk, viser Gmail deg et CATPCHA-bilde for å bekrefte at du ikke er en datamaskin som automatisk prøver passord. De vil sannsynligvis stoppe påloggingsforsøkene dine helt hvis du klarte å fortsette lenge nok.
hashing
Sterke hashingalgoritmer kan redusere brute-force angrep. I hovedsak utfører ishingalgoritmer ekstra matematisk arbeid på et passord før lagring av en verdi avledet fra passordet på disken. Hvis en tregere hashingalgoritme brukes, vil det kreve tusenvis av ganger så mye matematisk arbeid for å prøve hvert passord og dramatisk redusere brute force angrep. Men jo mer arbeid som kreves, desto mer fungerer en server eller annen datamaskin hver gang brukeren logger på med passordet sitt. Programvaren må balansere motstandskraft mot brute force-angrep med ressursbruk.
Brute Force Force
Hastigheten er alt avhengig av maskinvare. Intelligensbyråer kan bygge spesialisert maskinvare bare for brute-force angrep, akkurat som Bitcoin miners bygger sin egen spesialiserte maskinvare optimalisert for Bitcoin-gruvedrift. Når det gjelder forbruker maskinvare, er den mest effektive typen maskinvare for brute-force angrep et grafikkort (GPU). Ettersom det er enkelt å prøve mange forskjellige krypteringsnøkler samtidig, er mange grafikkort som kjører parallelt, ideelle.
Ved utgangen av 2012 rapporterte Ars Technica at en 25-GPU-klynge kunne sprekke hvert Windows-passord under 8 tegn på mindre enn seks timer. NTLM-algoritmen Microsoft brukte var bare ikke motstandsdyktig nok. Men når NTLM ble opprettet, ville det ha tatt mye lengre tid å prøve alle disse passordene. Dette ble ikke ansett som en trussel for Microsoft for å gjøre krypteringen sterkere.
Hastigheten øker, og i noen få tiår kan vi oppdage at selv de sterkeste kryptografiske algoritmer og krypteringsnøkler vi bruker i dag, kan raskt bli sprukket av kvante datamaskiner eller hvilken som helst annen maskinvare vi bruker i fremtiden.
Beskytte dataene dine mot brute-Force Attacks
Det er ingen måte å beskytte deg helt. Det er umulig å si hvor fort datastyring vil få, og om noen av krypteringsalgoritmene vi bruker i dag, har svakheter som vil bli oppdaget og utnyttet i fremtiden. Men her er det grunnleggende:
- Hold dine krypterte data trygge der angripere ikke kan få tilgang til det. Når de har dataene kopiert til maskinvaren, kan de prøve brutale kraftangrep mot det i sin fritid.
- Hvis du kjører en tjeneste som godtar pålogginger over Internett, må du sørge for at det begrenser innloggingsforsøk og blokkerer personer som prøver å logge inn med mange forskjellige passord på kort tid. Serverprogramvare er vanligvis satt til å gjøre dette ut av boksen, da det er en god sikkerhetspraksis.
- Bruk sterke krypteringsalgoritmer, for eksempel SHA-512. Pass på at du ikke bruker gamle krypteringsalgoritmer med kjente svakheter som er lette å knekke.
- Bruk lange, sikre passord. All krypteringsteknologi i verden skal ikke hjelpe hvis du bruker "passord" eller den stadig populære "hunter2".
Brute-force angrep er noe å være bekymret for når du beskytter dataene dine, velger krypteringsalgoritmer og velger passord. De er også en grunn til å fortsette å utvikle sterkere kryptografiske algoritmer - kryptering må holde følge med hvor raskt det blir gjort ineffektivt av ny maskinvare.
