Интернет хакови: Напади бруталним силама и како их зауставити

Интернет хакери

Напад бруталним силама, који се такође назива исцрпна претрага кључа, у основи је игра нагађања и може се извести на било којој врсти система за потврду идентитета.

Шифри за шифрирање су посебно рањиви на нападе бруталним силама, јер не постоји једноставан начин ограничавања броја нагађања које нападач може разбити. Стога је могуће наставити унос сваке поједине могуће лозинке док се не догоди исправна.

Једноставне нумеричке шифре

Дужина и сложеност лозинке омогућавају нам да израчунамо колико нагађања ће бити потребно да бисмо је провалили.

На пример, типични четвороцифрени код врата имао би 10 000 различитих комбинација, од 0000 до 9999. Лако је израчунати да ако се лозинке унесу насумично, исправна шифра врата има 50% шансе да се погоди у року од 5.000 покушаја.

Иако би могло бити дрско унијети толико различитих кључева за човека, могли бисмо направити малу руку робота да то уради за нас или чак пронаћи начин да унесемо шифре електронским путем. Ако треба нашој малој роботској руци једну секунду да унесе шифру, било која таква врата могли бисмо отворити у року од 167 минута - мање од три сата.

заштити од грубе силеОграничавање броја дозвољених нагађања за лозинку.

Повећање безбедности система ограничавањем броја нагађања

Постоји неколико начина да се наведена врата учине сигурнијим. Могли смо, на пример, дозволити само три нагађања пре него што се читач кода врата закључа у кутији која захтева отварање физичког кључа. Шанса тачног нагађања правог кода врата би се смањила на 0,3%, што је довољно мали број да се надамо да ће напасти нападача.

Банковне картице често користе овај механизам; након одређеног броја неуспелих покушаја, банкомат ће задржати корисничку картицу.

Телефонске СИМ картице такође често омогућавају само ограничен број нагађања за лозинку, након чега је потребно много дужи кључ за откључавање ПИН-а (ПУК) да бисте поново приступили картици.

Слаба страна овога је непријатност. Систем секундарног шифре учиниће закључавање врата, банковну картицу или телефон неупотребљивим одређено време. Такође, ако се ПУК не чува сигурно, може представљати потпуно нови безбедносни ризик.

Алтернативни систем је да дозволи само одређени број нагађања лозинке у минути. Ако покушате да откључате претходно наведена врата само једном у минуту, на пример, требало би вам до 167 сати да отворите врата. То траје скоро тачно недељу дана, и највероватније довољно да се нападач не труди да покуша - или довољно дуго да законити власници открију напад.

Ништа не може ограничити број нагађања за кључеве за шифровање

Ограничавање покушаја лозинке је, међутим, изведиво само за уређај или мрежни сервис. Ако нападач има приступ шифрованој датотеци или је нападач пресрео ваше шифроване комуникације, ништа не може ограничити број нагађања која могу да изврше.

Једина опција у таквим случајевима је повећавање дужине лозинке, чинећи је сигурнијом. За сваку додану цифру лозинци постаје погодно десет пута више времена. На пример, шестоцифрени код врата требало би скоро 12 дана да се пукне на једну претпоставку у секунди.

Међутим, израда дужих шифри долази са великом ценом како постају све теже и запамтити. А када је у питању чисто нагађање, рачунари могу лако погодити милијарду бројева у секунди, тако да би шифре требале бити изузетно дугачке. 18-цифрени приступни код требало би више од годину дана да рачунар погоди, али да ли се толико дуго можете сетити кода?

Комплексност је важна колико и дужина

Допуштање сложенијих шифри знатно побољшава сигурност. Ако дозволимо само бројеве, постоји само десет могућих уноса по цифри (0-9). Даље омогућавање малих слова повећава ово на 36 уноса по цифри (0-9, а-з). Додавање великих слова повећаће се на 62 уноса по цифри (0-9, а-з, А-З).

Кориштење оригиналне таблице Уницоде (латинични низ знакова) додатно би повећало сваку цифру на 95 могућих уноса. Дозвола за друге скрипте, попут арапског или грчког, брзо повећава овај број.

У тренутном сету Уницоде-а постоји преко 120 000 знакова, симбола и емојиса - који се сви могу користити за добру лозинку. Само коришћење било ког од ова два знака заједно ствара лозинку са преко 14 милијарди различитих могућности. Ако се дода трећина, то чини могућности од четири билиона.

Ако претпоставимо да рачунар може погодити милијарду лозинки у секунди, требало би вам више од милион секунди да пронађемо лозинку од три знака користећи сет Уницоде - око 12 дана. Постављање сложенијих лозинки једнако је моћно као и њихово продужавање, али их је углавном много лакше запамтити.

користите лозинкуЉуди нису у стању да буду случајни.

Случајност је важна, али људи су насумично лоши

У стварности, лозинке су ретко случајне. Људи систематски не успевају да смисле заиста случајне лозинке, чинећи неке варијације напада бруталним силама изводљивим.

На пример, можемо одабрати појединачне популарне речи када ћемо тражити да креирамо лозинку, умањујући сложеност наших лозинки. Иако постоји 300 милиона могућих комбинација лозинке са шест слова, чак и ако дозволимо само мала слова, нападачи ће почети са најчешће коришћеним енглеским речима, што често даје резултате. Такав напад се назива а рјечник напада.

Напад на речник често се комбинује са знањем најчешће коришћених лозинки. Знамо популарност одређених лозинки из претходних кршења лозинки. На пример, лозинка 1234 откључава преко 10% свих телефона. Лозинке 1111 и 0000, додатних 8%.

С обзиром на три покушаја провале лозинке, у теорији постоји 0,3% проваљивања лозинке, али у пракси је то ближе 18%.

То би требало у великој мери повећати сложеност лозинке када се одређена слова замењују посебним знаковима, попут „Па $$ в0рд.“ Међутим, начин на који људи замењују ова слова прилично је предвидљив и не додаје много случајности. Лако је погодити популарне замјене, попут е -> 3, а -> @, о -> 0 или с -> $, а затим проверите за ове. То се често назива замјена карактера.

Ако рачунар или нападач има прилику да сазна о кориснику, то може у великој мери смањити број покушаја да се пробије лозинка. Многи људи своје лозинке додају датумима рођења или годинама рођења. Остали користе име свог супружника, детета или кућног љубимца. Неки могу искористити велика слова, или једноставно укључити УРЛ веб локације за коју користе ту лозинку - ствари које нападач може лако погодити.

Уобичајена формула за лозинку је реч која започиње великим словом, затим бројем, а завршава посебним знаком, ЕГ Ворд1111 !. Ако нападач стекне неко знање о својој мети, можда ће употријебити овај образац, али заменити садржај информацијама важним за жртву. Ово се зове провјера узорка.

Најбоља заштита је јака, случајна лозинка

Ограничавање броја нагађања у секунди или укупан број нагађања пре него што се рачун закључа, иде на далеки начин да вас заштити од бруталних напада..

Помоћу кључева за шифровање таква ограничења нису могућа, тако да је најбољи начин да се одбраните од напада бруталним силама коришћење случајног генератора лозинки, било као самостални алат, било као део менаџера лозинки. Такође можете да користите технику прибора за јело.

Интернет хакови: Напади бруталним силама и како их зауставити
admin Author
Sorry! The Author has not filled his profile.