Interneto įsilaužimai: žiaurios jėgos išpuoliai ir kaip juos sustabdyti

[ware_item id=33][/ware_item]

Interneto įsilaužimai


Žiaurios jėgos išpuolis, dar vadinamas išsamia rakto paieška, iš esmės yra spėlionių žaidimas ir gali būti vykdomas prieš bet kokio tipo autentifikavimo sistemą..

Šifravimo raktai yra ypač pažeidžiami žiaurios jėgos išpuolių, nes nėra paprastas būdas apriboti spėjimų, kuriuos užpuolikas gali padaryti, kad būtų galima jį nulaužti, skaičių. Todėl įmanoma ir toliau įvesti kiekvieną įmanomą slaptažodį, kol įvyks teisingas.

Paprasti skaitmeniniai leidimų kodai

Slaptažodžio ilgis ir sudėtingumas leidžia mums apskaičiuoti, kiek spėlionių prireiktų norint jį nulaužti.

Pvz., Tipiškas keturženklis durų kodas sudarytų 10 000 skirtingų kombinacijų nuo 0000 iki 9999. Nesunku apskaičiuoti, kad jei slaptažodžiai įvedami atsitiktinai, teisingas durų kodas turi 50% tikimybę atspėti per 5000 bandymų..

Nors gali būti baugu įvesti tiek daug skirtingų raktų žmogui, mes galime sukurti nedidelę roboto ranką, kad tai padarytume už mus, ar net rasti būdą, kaip įvesti kodus elektroniniu būdu. Jei kodo įvedimas užtruks vieną mažą mūsų ranką robotui, sekundę įvesti galime per 167 minutes - mažiau nei per tris valandas..

apsaugoti nuo žiaurios jėgosRibotas slaptažodžio spėlionių skaičius.

Apsaugokite sistemas, ribodami spėlionių skaičių

Yra keletas būdų, kaip padaryti aukščiau paminėtas duris saugesnes. Pavyzdžiui, galėtume leisti tik tris spėjimus, kol durų kodų skaitytuvas nebus užrakintas dėžutėje, kuriai atsidaryti reikalingas fizinis raktas. Tuomet galimybė teisingai atspėti dešinių durų kodą bus sumažinta iki 0,3%, o skaičius yra pakankamai mažas, kad, tikėkimės, atbaidytų užpuoliką.

Banko kortelėse dažnai naudojamas šis mechanizmas; po tam tikro skaičiaus nesėkmingų bandymų bankomatas išlaikys vartotojo kortelę.

Telefoninės SIM kortelės taip pat dažnai leidžia atspėti tik ribotą skaičių slaptažodžių. Po to vėl reikia daug ilgesnio PIN atrakinimo rakto (PUK), norint vėl prisijungti prie kortelės..

Neigiamas dalykas yra nepatogumai. Dėl antrinės kodų sistemos durų užraktas, banko kortelė ar telefonas tam tikrą laiką bus nenaudojami. Be to, jei PUK nėra saugomas saugiai, tai gali sukelti visiškai naują saugumo riziką.

Alternatyvi sistema yra leisti tik tam tikrą slaptažodį atspėti per minutę. Pavyzdžiui, jei bandysite atrakinti anksčiau paminėtas duris tik kartą per minutę, durų atidarymas užtruktų iki 167 valandų. Tai yra beveik tiksliai savaitė ir greičiausiai pakankamai, kad užpuolikas nesivargintų bandyti - arba pakankamai ilgas, kad teisėti savininkai galėtų aptikti išpuolį..

Niekas negali apriboti šifravimo raktų spėlionių skaičiaus

Tačiau apriboti bandymus slaptažodžiu yra įmanoma tik įrenginiams ar internetinėms paslaugoms. Jei užpuolikas turi prieigą prie užšifruoto failo arba užpuolikas perėmė jūsų užšifruotą ryšį, niekas negali apriboti spėlionių, kurias jie gali padaryti, skaičiaus.

Vienintelis pasirinkimas tokiais atvejais yra padidinti leidimo kodą, kad jis būtų saugesnis. Kiekvienam slaptažodžio pridėtam skaitmeniui atspėti reikia dešimt kartų daugiau laiko. Pvz., Šešiaženklis durų kodas nugrimztų per vieną spėjimą per sekundę beveik 12 dienų.

Ilgesnių leidimų kodų pagaminimas kainuoja, nes juos vis sunkiau atsiminti. Kalbant tik apie spėjimą, kompiuteriai gali lengvai atspėti milijardą skaičių per sekundę, todėl slaptažodžiai turi būti ypač ilgi. 18 skaitmenų kodą kompiuteriui atspėti prireiktų daugiau nei metų, tačiau ar galėtumėte prisiminti tokį ilgą kodą?

Sudėtingumas yra toks pat svarbus kaip ir ilgis

Leidimas naudoti sudėtingesnius kodus, padidina saugumą. Jei leidžiame tik skaičius, yra tik dešimt galimų įrašų viename skaitmenyje (0–9). Jei dar leidžiama naudoti mažąsias raides, tai padidėja iki 36 įrašų viename skaitmenyje (0–9, a – z). Pridėjus didžiąsias raides padidės iki 62 įrašų viename skaitmenyje (0–9, a – z, A – Z).

Originalios „Unicode“ lentelės (lotyniškų simbolių rinkinio) naudojimas padidins kiekvieną skaitmenį iki 95 galimų įrašų. Leidžiant naudoti kitus scenarijus, pavyzdžiui, arabų ar graikų, šis skaičius greitai padidėja.

Dabartiniame „Unicode“ rinkinyje yra daugiau nei 120 000 ženklų, simbolių ir jaustukų - juos visus galima naudoti norint gauti gerą slaptažodį. Naudojant bet kuriuos du iš šių simbolių kartu sukuriamas slaptažodis su daugiau nei 14 milijardų skirtingų galimybių. Pridėjus trečdalį, tai tampa kvadrilijonų galimybėmis.

Jei tarkime, kad kompiuteris gali atspėti milijardą slaptažodžių per sekundę, trijų ženklų slaptažodžio suradimas naudojant „Unicode“ rinkinį užtruktų milijoną sekundžių - maždaug 12 dienų. Sudėtingesni slaptažodžiai yra tokie pat galingi, kaip ir ilgesni, tačiau paprastai juos daug lengviau atsiminti.

naudokitės slaptažodžių tvarkytuveŽmonės nesugeba būti atsitiktiniai.

Atsitiktinumas yra svarbus, tačiau žmonėms blogas yra atsitiktinumas

Iš tikrųjų slaptažodžiai retai būna atsitiktiniai. Žmonėms sistemingai nesiseka sugalvoti tikrai atsitiktinių slaptažodžių, todėl įmanoma atlikti keletą brutalios jėgos išpuolių variantų..

Pavyzdžiui, paprašę sukurti slaptažodį, mes galime pasirinkti vieną populiarų žodį, labai sumažindami slaptažodžių sudėtingumą. Nors yra 300 milijonų galimų šešių raidžių slaptažodžio kombinacijų, net jei leistume tik mažąsias raides, puolėjai pradės nuo dažniausiai naudojamų angliškų žodžių, kurie dažnai duoda rezultatų. Toks išpuolis vadinamas a žodyno ataka.

Žodyno ataka dažnai derinama su žiniomis apie dažniausiai naudojamus slaptažodžius. Mes žinome tam tikrų slaptažodžių populiarumą iš ankstesnių slaptažodžių pažeidimų. Pavyzdžiui, 1234 slaptažodis atrakina daugiau nei 10% visų telefonų. Slaptažodžiai 1111 ir 0000, dar 8 proc..

Atsižvelgiant į tris bandymus nulaužti slaptažodį, teoriškai 0,3% slaptažodžio gali būti nulaužta, tačiau praktiškai tai artimesnė 18%.

Tai turėtų žymiai padidinti slaptažodžio sudėtingumą, kai tam tikros raidės pakeičiamos specialiaisiais simboliais, tokiais kaip „Pa $ $ w0rd“. Tačiau būdas, kuriuo žmonės pakeičia šias raides, yra gana nuspėjamas ir neprideda daug atsitiktinumų. Nesunku atspėti populiarius pakaitalus, tokius kaip e -> 3, a -> @, o -> 0 arba s -> $, tada patikrinkite, ar šie. Tai dažnai vadinama charakterio pakeitimas.

Jei kompiuteris ar užpuolikas turi galimybę sužinoti apie vartotoją, tai gali žymiai sumažinti bandymų nulaužti jų slaptažodį skaičių. Daugelis žmonių prie slaptažodžių prideda savo gimimo datas ar gimimo metus. Kiti vartoja savo sutuoktinio, vaiko ar augintinio vardą. Kai kurie žmonės gali rašyti didžiosiomis raidėmis arba tiesiog įtraukti svetainės, kurioje jie naudoja tą slaptažodį, URL - dalykai, kuriuos užpuolikas gali lengvai atspėti.

Įprasta slaptažodžio formulė yra žodis, kuris prasideda didžiosiomis raidėmis, po jų eina skaičius ir baigiasi specialiu simboliu - EG Word1111 !. Jei užpuolikas sužino apie savo taikinį, jis gali naudoti šį modelį, bet turinį pakeisti aukos informacija. Tai vadinama modelio tikrinimas.

Geriausia apsauga yra stiprus, atsitiktinis slaptažodis

Apribojus spėlionių skaičių per sekundę arba bendrą spėlionių skaičių prieš užrakinant sąskaitą reikia nugalėti jus nuo žiaurios jėgos išpuolių..

Su šifravimo raktais tokie apribojimai neįmanomi, todėl geriausias būdas apsisaugoti nuo žiaurios jėgos išpuolio yra atsitiktinių slaptažodžių generatorius - kaip atskiras įrankis arba kaip slaptažodžių tvarkyklės dalis. Taip pat galite naudoti „Diceware“ techniką.

Interneto įsilaužimai: žiaurios jėgos išpuoliai ir kaip juos sustabdyti
admin Author
Sorry! The Author has not filled his profile.