פריצות לאינטרנט: התקפות כוח אמיץ ואיך לעצור אותן

התקפה של כוח סוער, המכונה גם חיפוש מפתח ממצה, היא בעצם משחק ניחושים וניתן לבצע אותה נגד כל סוג של מערכת אימות..

מפתחות הצפנה פגיעים במיוחד להתקפות כוח בריוט, מכיוון שאין דרך קלה להגביל את מספר הניחושים שתוקף יכול לעשות כדי לפצח אותה. לכן ניתן להמשיך להזין כל סיסמא אפשרית עד להתרחשותה של הסיסמא הנכונה.

קודי מספרי פשוטים

אורך ומורכבות של סיסמא מאפשרים לנו לחשב כמה ניחושים יידרשו כדי לפצח אותה.

לדוגמה, קוד דלת ארבע ספרתי טיפוסי יכלול 10,000 שילובים שונים, בין 0000 ל- 9999. קל לחשב שאם מוזנים סיסמאות באופן אקראי, לקוד הדלת הנכון יש סיכוי של 50% להינחש תוך 5,000 ניסיונות..

למרות שזה עלוב להיות כואב להכניס כל כך הרבה מפתחות שונים לאדם, אנו יכולים לבנות זרוע רובוט קטנה שתעשה זאת עבורנו, או אפילו למצוא דרך להזין את הקודים באופן אלקטרוני. אם ייקח לזרוע הרובוט הקטנה שלנו שנייה אחת להזין קוד, נוכל לפתוח כל דלת כזו תוך 167 דקות – פחות משלוש שעות.

הגבלת מספר הניחושים המותרים לסיסמא.

הגנת מערכות בטוחות יותר על ידי הגבלת מספר הניחושים

יש כמה דרכים להבטיח את הדלת הנזכרת יותר. נוכל, למשל, לאפשר שלוש ניחושים לפני שקורא קוד הדלת ננעל בתוך תיבה הדורשת פתיחה של מפתח פיזי. לאחר מכן, הסיכוי לנחש נכון את קוד הדלת הנכונה יוחזק ל -0.3%, מספר קטן מספיק בכדי שתקווה לדחות תוקף.

כרטיסי בנק משתמשים לרוב במנגנון זה; לאחר מספר מסוים של ניסיונות כושלים, הכספומט ישמור את כרטיס המשתמש.

לעתים קרובות כרטיסי ה- SIM לטלפון מאפשרים רק מספר מצומצם של ניחושים בסיסמאיים, שלאחריהם נדרש מפתח נעילת מספר זיהוי אישי ארוך יותר (PUK) כדי לגשת שוב לכרטיס..

החיסרון בזה הוא אי הנוחות. מערכת קוד סיסמא משנית תגרום למנעול דלת, כרטיס בנק או טלפון להיות בלתי שמיש למשך זמן מסוים. כמו כן, אם ה- PUK לא מאוחסן בצורה מאובטחת, הוא עלול להוות סיכון אבטחה חדש לחלוטין.

מערכת חלופית היא לאפשר רק מספר מסוים של ניחושים בסיסמאות בדקה. אם אתה יכול לנסות לפתוח את הדלת רק פעם אחת בדקה, למשל, ייקח עד 167 שעות לפתיחת הדלת. זה כמעט שבוע, וסביר להניח שהמתקפה לא תטרח לנסות – או מספיק זמן כדי שהבעלים החוקיים יגלו את ההתקפה.

שום דבר לא יכול להגביל את מספר הניחושים למפתחות ההצפנה

עם זאת, הגבלת ניסיונות סיסמא קיימת אך ורק עבור מכשיר או שירות מקוון. אם לתוקף יש גישה לקובץ מוצפן, או שהתוקף יירט את התקשורת המוצפנת שלך, אין דבר שיכול להגביל את מספר הניחושים שהם יכולים לעשות.

האפשרות היחידה במקרים כאלה היא להגדיל את אורך הסיסמה ולהפוך אותו לבטוח יותר. עבור כל ספרה שנוספה לסיסמה, זה הופך זמן רב פי עשרה לנחש. קוד דלת בן שש ספרות, למשל, ייקח כמעט 12 יום לפיצוח לפי ניחוש אחד בשנייה.

הפיכת סיסמאות ארוכות יותר עולה במחיר, עם זאת, כאשר הם נעשים יותר ויותר קשה לזכור. וכשמדובר בנחישות טהורה, מחשבים יכולים לנחש בקלות מיליארד מספרים בשנייה, כך שקודי הסיסמא צריכים להיות ארוכים במיוחד. קוד ניחוש בן 18 ספרות ייקח יותר משנה כשמחשב ינחש, אך האם תוכל לזכור קוד כל כך הרבה זמן?

המורכבות חשובה לאורך

הקצאת קודנים מורכבים יותר משפרת מאוד את האבטחה. אם אנו מאפשרים מספרים בלבד, יש רק עשר רשומות אפשריות לספרה (0-9). בהמשך לאפשר אותיות קטנות גדל זה ל 36 ערכים לספרה (0-9, a-z). הוספת אותיות גדולות תעלה ל -62 רשומות לספרה (0-9, a-z, A-Z).

השימוש בטבלת Unicode המקורית (ערכת התווים הלטינית) תגדיל עוד יותר כל ספרה ל 95 ערכים אפשריים. התרת סקריפטים אחרים, כמו ערבית או יוונית, מגדילה את המספר הזה עוד יותר.

יש בערך 120,000 תווים, סמלים ואמוג’ים בערכה הנוכחית של Unicode – את כולם ניתן להשתמש עבור סיסמה טובה. פשוט שימוש בשתי מהדמויות הללו יחד מייצר סיסמא עם למעלה מ 14 מיליארד אפשרויות שונות. הוספת שליש הופכת אותו לאפשרויות של ריבוע.

אם אנו מניחים כי מחשב יכול לנחש מיליארד סיסמאות בשנייה, ייקח יותר ממיליון שניות למצוא סיסמה בת שלוש תווים באמצעות מערך יוניקוד – בערך 12 יום. הפיכת סיסמאות למורכבות יותר חזקה כמו הארכתן, אך בדרך כלל קל יותר לזכור אותן.

בני אדם אינם מסוגלים להיות אקראיים.

אקראי חשוב, אך בני האדם רעים באופן אקראי

במציאות, סיסמאות הן לעתים נדירות אקראיות. בני אדם נכשלים באופן שיטתי עם סיסמאות אקראיות באמת, מה שהופך כמה וריאציות למתקפת הכוח הזרוע.

לדוגמה, אנו עשויים לבחור במילים פופולריות בודדות כאשר אנו מתבקשים ליצור סיסמא, ונפחית את המורכבות של הסיסמאות שלנו באופן משמעותי. אמנם ישנם 300 מיליון שילובים אפשריים לסיסמא בת שש אותיות, אפילו אם אנו מאפשרים רק אותיות קטנות, התוקפים יתחילו במילים האנגלית הנפוצות ביותר, מה שמביא לעתים קרובות לתוצאות. התקפה כזו נקראת א התקפת מילון – –.

התקפת מילון משולבת לרוב עם ידיעת הסיסמאות הנפוצות ביותר. אנו יודעים מה הפופולריות של סיסמאות מסוימות מהפרות קודמות של סיסמאות. הסיסמה 1234, למשל, מבטלת את הנעילה של מעל 10% מכל הטלפונים. הסיסמאות 1111 ו- 0000, 8% נוספים.

בהתחשב בשלושה ניסיונות לפצח סיסמה, להלכה, יש 0.3% מפיצוח הסיסמה, אך בפועל זה קרוב יותר ל 18%.

זה אמור להגדיל מאוד את המורכבות של סיסמה כאשר אותיות מסוימות מוחלפות בתווים מיוחדים, כגון “Pa $$ w0rd.” עם זאת, האופן בו בני האדם מחליפים אותיות אלה הוא צפוי למדי וזה לא מוסיף אקראיות רבה. קל לנחש תחליפים פופולריים, כמו למשל e -> 3, א -> @, o -> 0 או שניות -> $, בדוק אם קיימים אלה. לרוב מכנים זאת החלפת תווים.

אם למחשב או לתוקף יש אפשרות ללמוד על המשתמש זה יכול להפחית במידה ניכרת את מספר הניסיונות הנדרשים לפיצוח הסיסמה שלו. אנשים רבים מוסיפים את תאריכי הלידה או שנות הלידה שלהם לסיסמאות. אחרים משתמשים בשם בן / בת הזוג, ילדם או חיית המחמד שלהם. חלקם עשויים להשתמש באותיות מסוימות באותיות רישיות, או פשוט לכלול את ה- URL של האתר בו הן משתמשות בסיסמה – דברים שתוקף יכול לנחש בקלות.

נוסחה נפוצה לסיסמא היא מילה שמתחילה באותיות גדולות, אחריה מספר, ומסתיימת בתו מיוחד, EG Word1111 !. אם תוקף משיג ידע מסוים על היעד שלו, הוא עשוי להשתמש בדפוס זה אך יחליף את התוכן במידע הרלוונטי לקורבן. זה נקרא בדיקת דפוסים.

ההגנה הטובה ביותר היא סיסמא חזקה ואקראית

הגבלת מספר הניחושים לשנייה, או המספר הכולל של ניחושים לפני שננעל חשבון, עושה דרך ארוכה כדי להגן עליך מפני התקפות כוח אמיץ.

עם מפתחות הצפנה מגבלות כאלה אינן אפשריות, כך שהדרך הטובה ביותר להתגונן מפני התקפה של כוח ברוט היא להשתמש במחולל סיסמאות אקראי, אם ככלי עצמאי או כחלק ממנהל סיסמאות. אתה יכול גם להשתמש בטכניקת Diceware.