İnternet saldırıları: Kaba kuvvet saldırıları ve bunların nasıl durdurulacağı
Kapsamlı anahtar arama olarak da adlandırılan kaba kuvvet saldırısı aslında bir tahmin oyunudur ve her türlü kimlik doğrulama sistemine karşı yürütülebilir.
Şifreleme anahtarları, bir saldırganın onu kırmak için yapabileceği tahmin sayısını sınırlamanın kolay bir yolu olmadığından, kaba kuvvet saldırılarına karşı özellikle savunmasızdır. Bu nedenle, doğru olana kadar mümkün olan her şifreyi girmeye devam etmek mümkündür..
Basit sayısal parolalar
Bir şifrenin uzunluğu ve karmaşıklığı, onu kırmak için kaç tahminin gerektiğini hesaplamamızı mümkün kılar.
Örneğin, tipik bir dört haneli kapı kodu 0000 ile 9999 arasında 10.000 farklı kombinasyona sahip olacaktır. Şifreler rastgele girilirse, doğru kapı kodunun 5.000 denemede% 50 tahmin edilme olasılığının hesaplanması kolaydır..
Bir insan için birçok farklı anahtar girmek zor olsa da, bizim için bunu yapmak için küçük bir robot kolu inşa edebiliriz, hatta kodları elektronik olarak girmenin bir yolunu bulabiliriz. Küçük robot kolumuza bir kod girilmesi bir saniye sürerse, bu tür herhangi bir kapıyı 167 dakika içinde açabiliriz – üç saatten az.
Parola için izin verilen tahmin sayısını sınırlama.
Tahmin sayısını sınırlandırarak sistemleri daha güvenli hale getirme
Söz konusu kapıyı daha güvenli hale getirmenin birkaç yolu vardır. Örneğin, kapı kodu okuyucusunun açılması için fiziksel anahtar gerektiren bir kutunun içine kilitlenmeden önce yalnızca üç tahmine izin verebiliriz. Doğru kapı kodunu doğru tahmin etme şansı, daha sonra bir saldırganı ertelemek için yeterince küçük bir sayı olan% 0,3’e düşürülecektir..
Banka kartları genellikle bu mekanizmayı kullanır; belirli sayıda başarısız denemeden sonra ATM, kullanıcının kartını saklar.
Telefon SIM kartları da genellikle sınırlı sayıda şifre tahminine izin verir, bundan sonra karta tekrar erişmek için daha uzun bir PIN Kilit Açma Anahtarı (PUK) gerekir.
Bunun dezavantajı rahatsızlıktır. İkincil şifre sistemi, bir kapı kilidini, banka kartını veya telefonu belirli bir süre kullanılamaz hale getirecektir. Ayrıca, PUK güvenli bir şekilde saklanmazsa, tamamen yeni bir güvenlik riski oluşturabilir.
Alternatif bir sistem dakikada sadece belirli sayıda şifre tahminine izin vermektir. Örneğin, daha önce belirtilen kapının kilidini dakikada sadece bir kez açmayı denerseniz, kapının açılması 167 saate kadar sürebilir. Bu neredeyse tam bir hafta ve büyük olasılıkla bir saldırganın denemeyi rahatsız etmemesi için yeterli – ya da doğru sahiplerin saldırıyı algılaması için yeterince uzun.
Hiçbir şey şifreleme anahtarları için tahmin sayısını sınırlayamaz
Bununla birlikte, şifre girişimlerini sınırlamak yalnızca bir cihaz veya çevrimiçi hizmet için geçerlidir. Saldırganın şifrelenmiş bir dosyaya erişimi varsa veya saldırgan şifreli iletişimlerinize müdahale etmişse, yapabilecekleri tahmin sayısını sınırlandırabilecek hiçbir şey yoktur.
Bu gibi durumlarda tek seçenek, şifrenin uzunluğunu artırmak ve daha güvenli hale getirmektir. Bir parola eklenen her rakam için tahmin edilmesi on kat daha fazla zaman alır. Örneğin, altı haneli bir kapı kodunun saniyede bir tahminde kırılması yaklaşık 12 gün sürer.
Bununla birlikte, daha uzun parolalar yapmak, hatırlanması gittikçe zorlaştıkça bir maliyet getirmektedir. Ve saf tahmin söz konusu olduğunda, bilgisayarlar saniyede milyar sayıyı kolayca tahmin edebilir, bu nedenle parolaların son derece uzun olması gerekir. Bir bilgisayarın tahmin etmesi 18 haneli bir şifrenin bir yıldan fazla sürmesine neden olabilir, ancak bu kadar uzun bir kodu hatırlayabilir misiniz??
Karmaşıklık uzunluk kadar önemlidir
Daha karmaşık parolalara izin vermek güvenliği büyük ölçüde artırır. Yalnızca sayılara izin verirsek, basamak başına yalnızca on olası giriş vardır (0-9). Küçük harflere daha fazla izin verilmesi, bunu basamak başına 36 girişe (0-9, a-z) yükseltir. Büyük harfler eklemek rakam başına 62 girişe yükselir (0-9, a-z, A-Z).
Orijinal Unicode tablosunu (Latin karakter seti) kullanmak her basamağı 95 olası girişe daha da artıracaktır. Arapça veya Yunanca gibi diğer komut dosyalarına izin vermek bu sayıyı daha da artırır.
Geçerli Unicode kümesinde 120.000’den fazla karakter, sembol ve emoji vardır; bunların tümü iyi bir parola için kullanılabilir. Bu karakterlerden herhangi ikisini birlikte kullanmak 14 milyardan fazla farklı olasılık içeren bir şifre üretir. Üçüncüyü eklemek onu dört katına çıkarır.
Bir bilgisayarın saniyede milyar parola tahmin edebileceğini varsayarsak, Unicode setini kullanarak yaklaşık 12 gün olmak üzere üç karakterli bir parola bulmak bir milyon saniyeden fazla zaman alır. Parolaları daha karmaşık hale getirmek, onları daha uzun yapmak kadar güçlüdür, ancak genellikle hatırlanması daha kolaydır.
İnsanlar rastgele olmaktan aciz.
Rastgele önemlidir, ancak insanlar rastgele kötüdür
Gerçekte, şifreler nadiren rastgeledir. İnsanlar sistematik olarak gerçekten rasgele şifreler bulma konusunda başarısız oluyorlar, bu da kaba kuvvet saldırısının bazı varyasyonlarını mümkün kılıyor.
Örneğin, bir şifre oluşturmamız istendiğinde tek popüler kelimeleri seçebilir ve şifrelerimizin karmaşıklığını büyük ölçüde azaltabiliriz. Altı harfli bir şifre için 300 milyon olası kombinasyon olsa da, yalnızca küçük harflere izin versek bile, saldırganlar en sık kullanılan İngilizce kelimelerle başlayacak ve bu da genellikle sonuç verir. Böyle bir saldırıya sözlük saldırısı.
Bir sözlük saldırısı genellikle en sık kullanılan parolaların bilgisi ile birleştirilir. Önceki şifre ihlallerinden bazı şifrelerin popülerliğini biliyoruz. Örneğin 1234 parolası, tüm telefonların% 10’undan fazlasının kilidini açar. 1111 şifreleri ve 0000, % 8 daha.
Bir şifreyi kırmak için üç deneme göz önüne alındığında, teoride, şifreyi kırmanın% 0,3’ü vardır, ancak pratikte% 18’e daha yakındır.
Bazı harflerin “Pa $$ w0rd” gibi özel karakterlerle değiştirilmesiyle bir parolanın karmaşıklığını büyük ölçüde artırması gerekir. Ancak, insanların bu harfleri değiştirme şekli oldukça tahmin edilebilir ve fazla rastgelelik katmaz. E gibi popüler değiştirmeleri tahmin etmek kolaydır -> 3 A -> @, Ö -> 0 veya s -> $, sonra bunları kontrol edin. Bu genellikle karakter ikamesi.
Bir bilgisayar veya saldırgan kullanıcı hakkında bilgi edinme şansına sahipse, parolalarını kırmak için gereken deneme sayısını büyük ölçüde azaltabilir. Birçok kişi doğum tarihlerini veya doğum yıllarını şifrelere ekler. Diğerleri eşlerinin, çocuklarının veya evcil hayvanlarının adını kullanır. Bazıları belirli karakterleri büyük yapabilir veya yalnızca bu şifreyi kullandıkları sitenin URL’sini ekleyebilir; bir saldırganın kolayca tahmin edebileceği şeyler.
Parola için ortak bir formül, büyük harfle başlayan, ardından bir sayı izleyen ve özel bir karakter olan EG Word1111! İle biten bir kelimedir. Bir saldırgan hedefi hakkında bilgi edinirse, bu kalıbı kullanabilir ancak içeriği kurbanla ilgili bilgilerle değiştirebilir. Buna denir kalıp kontrolü.
En iyi koruma güçlü ve rastgele bir şifredir
Saniyedeki tahmin sayısını veya bir hesap kilitlenmeden önceki toplam tahmin sayısını sınırlamak, sizi kaba kuvvet saldırılarına karşı korumak için uzun bir yol kat eder.
Şifreleme anahtarları ile bu tür sınırlamalar mümkün değildir, bu nedenle kaba kuvvet saldırısına karşı savunmanın en iyi yolu, bağımsız bir araç olarak veya bir şifre yöneticisinin parçası olarak rastgele bir şifre üreticisi kullanmaktır. Diceware tekniğini de kullanabilirsiniz.
17.04.2023 @ 18:42
çüde artırır. Parolaların sadece sayısal değil, harf, sembol ve büyük/küçük harf kombinasyonlarından oluşması daha güvenli bir seçenektir. Örneğin, “P@ssw0rd” gibi bir parola, sadece sayısal bir parolaya göre çok daha güvenlidir. Rastgele önemlidir, ancak insanlar rastgele kötüdür Rastgele parolaların kullanılması, saldırganların tahmin etmesini zorlaştırır. Ancak, insanların rastgele parolaları hatırlama konusunda zorluk yaşadığı bilinmektedir. Bu nedenle, birçok insan aynı parolayı farklı hesaplarında kullanır. Bu, bir hesabın kırılması durumunda, diğer hesapların da tehlikeye girmesi anlamına gelir. En iyi koruma güçlü ve rastgele bir şifredir En iyi koruma, güçlü ve rastgele bir şifre kullanmaktır. Bu, saldırganların tahmin etmesini zorlaştırır ve hesaplarınızı daha güvenli hale getirir. Ayrıca, farklı hesaplar için farklı şifreler kullanmak da önemlidir. Bu, bir hesabın kırılması durumunda, diğer hesapların da tehlikeye girmemesini sağlar.