Internetski hakovi: Napadi brutalnim silama i kako ih zaustaviti
Napad brutalnim silama, koji se također naziva iscrpnom pretragom ključa, u osnovi je igra nagađanja i može se izvesti protiv bilo koje vrste autentifikacijskog sustava.
Šifrirani ključevi posebno su osjetljivi na napade brutalnim silama, jer ne postoji jednostavan način ograničavanja broja nagađanja koje napadač može razbiti. Stoga je moguće nastaviti unos svake pojedine moguće lozinke dok se ne dogodi ispravna.
Jednostavne numeričke šifre
Duljina i složenost lozinke omogućuju nam da izračunamo koliko nagađanja treba da je probijemo.
Na primjer, tipični četveroznamenkasti kôd vrata imao bi 10 000 različitih kombinacija, od 0000 do 9999. Lako je izračunati da ako se lozinke unesu nasumično, ispravni kôd vrata ima 50% šanse da se pogodi u 5000 pokušaja.
Iako bi moglo biti drsko unijeti toliko različitih ključeva za čovjeka, mogli bismo izgraditi malu robotsku ruku da to učini za nas ili čak pronaći način da unesemo kodove elektronskim putem. Ako će trebati našoj maloj robotskoj ruci jednu sekundu da unesemo šifru, bilo koja takva vrata mogli bismo otvoriti u roku od 167 minuta – manje od tri sata.
Ograničavanje broja dopuštenih nagađanja za lozinku.
Povećanje sigurnosti sustava ograničavanjem broja nagađanja
Postoji nekoliko načina da se navedena vrata učine sigurnijim. Na primjer, mogli bismo dopustiti samo tri nagađanja prije nego što se čitač koda vrata zaključa u okviru za koji je potreban fizički ključ. Mogućnost ispravnog nagađanja koda pravih vrata smanjila bi se na 0,3%, što je dovoljno mali broj da se nadam napadač.
Bankovne kartice često koriste ovaj mehanizam; nakon određenog broja neuspjelih pokušaja, bankomat će zadržati korisničku karticu.
Telefonske SIM kartice također često dopuštaju samo ograničen broj nagađanja zaporke, nakon čega je potreban mnogo duži ključ za otključavanje PIN-a (PUK) da biste ponovno pristupili kartici.
Slaba strana toga je neugodnost. Sustav sekundarne šifre učinit će zaključavanje vrata, bankovnu karticu ili telefon neupotrebljivim neko vrijeme. Također, ako se PUK ne pohranjuje na sigurno, to može predstavljati potpuno novi sigurnosni rizik.
Alternativni sustav je da dopušta samo određeni broj nagađanja zaporke u minuti. Ako, primjerice, pokušate otključati prethodno spomenuta vrata jednom u minuti, trebalo bi vam 167 sati da otvorite vrata. Prošlo je gotovo točno tjedan dana, i najvjerojatnije dovoljno da se napadač ne zamara pokušajem – ili dovoljno dugo da zakoniti vlasnici otkriju napad.
Ništa ne može ograničiti broj nagađanja za ključeve za šifriranje
Ograničavanje pokušaja lozinke moguće je, međutim, samo za uređaj ili internetsku uslugu. Ako napadač ima pristup šifriranoj datoteci ili je napadač presreo vaše šifrirane komunikacije, ne postoji ništa što može ograničiti broj nagađanja koja mogu izvršiti.
Jedina opcija u takvim slučajevima je povećati duljinu lozinke, čineći je sigurnijom. Za svaku dodanu znamenku lozinku postaje pogodno deset puta više vremena. Na primjer, šesteroznamenkasti kôd vrata potrajao bi gotovo 12 dana da se pukne od jedne nagađanja u sekundi.
Izrada dužih pristupnih kodova dolazi skupo, jer postaju sve teže i zapamtiti. A kad je riječ o čistom nagađanju, računala lako mogu pogoditi milijardu brojeva u sekundi, tako da bi prolazni kodovi trebali biti izuzetno dugi. 18-znamenkasti znamenki trebalo bi više od godinu dana da računalo pogodi, ali možete li se toliko dugo sjećati koda?
Složenost je važna koliko i duljina
Dopuštanje složenijih lozinki znatno poboljšava sigurnost. Ako dopustimo samo brojeve, postoji samo deset mogućih unosa u znamenki (0-9). Daljnjim dopuštanjem malih slova to se povećava na 36 unosa po znamenki (0-9, a-z). Dodavanje velikih slova povećat će se na 62 unosa po znamenki (0-9, a-z, A-Z).
Korištenje originalne tablice Unicode (latinični niz znakova) dodatno bi povećalo svaku znamenku na 95 mogućih unosa. Dopuštanje drugih skripti, poput arapskog ili grčkog, brzo povećava taj broj.
U trenutnom skupu Unicode-a postoji preko 120 000 znakova, simbola i emojida – svi se oni mogu koristiti za dobru lozinku. Jednostavno korištenje bilo kojeg od tih dvaju znakova zajedno stvara lozinku s preko 14 milijardi različitih mogućnosti. Ako se doda trećina, to čini četiri milijarde mogućnosti.
Ako pretpostavimo da računalo može pogoditi milijardu zaporki u sekundi, trebalo bi vam više od milijun sekundi da pronađemo lozinku od tri znaka pomoću skupa Unicode – otprilike 12 dana. Pojednostavljivanje lozinki jednako je moćno i dulje, ali ih je uglavnom lakše pamtiti.
Ljudi nisu u stanju biti slučajni.
Slučajnost je važna, ali ljudi su nasumično loši
U stvarnosti, lozinke su rijetko slučajne. Ljudi sustavno ne uspijevaju smisliti stvarno slučajne lozinke, čineći neke varijacije napada brutalne sile izvedivim.
Na primjer, možemo odabrati pojedinačne popularne riječi kada ćemo zatražiti da stvorimo lozinku, u velikoj mjeri smanjujući složenost naših lozinki. Iako postoji 300 milijuna mogućih kombinacija za zaporku od šest slova, čak i ako dopustimo samo mala slova, napadači će započeti s najčešće korištenim engleskim riječima, što često daje rezultate. Takav napad naziva se a rječnik napad.
Napad na rječnik često se kombinira sa znanjem najčešće korištenih lozinki. Znamo popularnost određenih lozinki iz prethodnih kršenja lozinki. Na primjer, lozinka 1234 otključava preko 10% svih telefona. Lozinke 1111 i 0000, dodatnih 8%.
S obzirom na tri pokušaja provaljivanja lozinke, teoretski postoji 0,3% provaljivanja lozinke, ali u praksi je to bliže 18%.
To bi trebalo uvelike povećati složenost lozinke kada se neka slova zamijene posebnim znakovima, poput “Pa $$ w0rd”. Međutim, način na koji ljudi zamjenjuju ta slova prilično je predvidljiv i ne dodaje puno slučajnosti. Lako je pogoditi popularne zamjene, poput e -> 3, a -> @, o -> 0 ili s -> $, a zatim provjerite za ove. To se često naziva zamjena znakova.
Ako računalo ili napadač ima priliku učiti o korisniku, to može uvelike smanjiti broj pokušaja da se probije lozinka. Mnogi ljudi datumi rođenja ili godine rođenja dodaju lozinke. Ostali koriste ime svog supružnika, djeteta ili kućnog ljubimca. Neki mogu iskoristiti velika slova velikim slovom ili jednostavno uključiti URL web lokacije za koju koriste tu lozinku – stvari koje napadač lako može pogoditi.
Uobičajena formula za lozinku je riječ koja započinje velikim slovom, nakon čega slijedi broj, a završava posebnim znakom, EG Word1111 !. Ako napadač stekne neko znanje o svojoj meta, mogao bi upotrijebiti ovaj obrazac, ali zamijeniti sadržaj informacijama koje su važne žrtvi. Ovo se zove provjera uzorka.
Najbolja zaštita je jaka, slučajna lozinka
Ograničavanje broja nagađanja u sekundi ili ukupnog broja nagađanja prije zaključavanja računa dugotrajno vas štiti od brutalnih napada.
Uz šifriranje ključeva takva ograničenja nisu moguća, tako da je najbolji način za obranu od brutalne napada upotreba slučajnog generatora zaporki, bilo kao samostalni alat ili kao dio upravitelja lozinki. Također možete koristiti tehniku pribora za jelo.
17.04.2023 @ 18:50
kupno (0-9, a-z). Ako dopustimo i velika slova, to se povećava na 62 moguća unosa (0-9, a-z, A-Z). Ako dopustimo i posebne znakove, poput @ ili #, to se povećava na još više mogućnosti. Složenost lozinke važna je koliko i duljina, jer što je složenija lozinka, to je teže pogoditi je nagađanjem. Najbolja zaštita je jaka, slučajna lozinka Najbolja zaštita od napada brutalnim silama je jaka, slučajna lozinka koju je teško pogoditi nagađanjem. Takvu lozinku možete generirati pomoću alata za upravljanje lozinkama ili jednostavno odabrati nasumične riječi ili kombinacije znakova koje su vam lako zapamtiti, ali teško pogoditi. Važno je ne koristiti istu lozinku za više računa i redovito mijenjati lozinke kako bi se smanjio rizik od hakiranja. U konačnici, važno je shvatiti da napad brutalnim silama nije nezaustavljiv, ali zahtijeva određene mjere opreza kako bi se smanjio rizik od uspješnog napada.