Pagrindinis » kaip » Brutalių jėgų atakas paaiškino, kaip visiškas šifravimas yra pažeidžiamas

    Brutalių jėgų atakas paaiškino, kaip visiškas šifravimas yra pažeidžiamas

    Brutalinių jėgų išpuoliai yra gana paprasti suprasti, bet juos sunku apsaugoti. Šifravimas yra matematika, o kompiuteriai tampa greitesni matematikos srityje, todėl jie greičiau bando visus sprendimus ir mato, kuris iš jų tinka.

    Šie išpuoliai gali būti naudojami prieš bet kokio tipo šifravimą, su įvairiais sėkmės laipsniais. Brutalių jėgų atakos tampa greitesnės ir efektyvesnės, kai kasdien išleidžiamos naujesnės, greitesnės kompiuterinės įrangos.

    Bruto pajėgų pagrindai

    Brutalinių jėgų išpuoliai yra lengvai suprantami. Užpuolikas turi šifruotą failą, ty „LastPass“ arba „KeePass“ slaptažodžių duomenų bazę. Jie žino, kad šiame faile yra duomenų, kuriuos jie nori matyti, ir jie žino, kad yra užšifravimo raktas, kuris jį atrakina. Norėdami jį iššifruoti, jie gali pradėti bandyti kiekvieną galimą slaptažodį ir pamatyti, ar tai sukelia iššifruotą failą.

    Jie tai daro automatiškai, naudodamiesi kompiuterine programa, todėl didėja greitis, kuriuo žmogus gali naudoti brutalios jėgos šifravimą, nes prieinama kompiuterinė įranga tampa greitesnė ir greitesnė, todėl galima atlikti daugiau skaičiavimų per sekundę. Brutalios jėgos ataka greičiausiai prasidėtų nuo vieno skaitmens slaptažodžių prieš pereinant prie dviejų skaitmenų slaptažodžių ir pan..

    „Žodyno atakos“ yra panašios ir bando žodžius žodynuose - arba bendrų slaptažodžių sąraše - vietoj visų galimų slaptažodžių. Tai gali būti labai veiksminga, nes daugelis žmonių naudoja tokius silpnus ir bendruosius slaptažodžius.

    Kodėl Attackers negali Brute-Force Web Services

    Yra skirtumas tarp interneto ir neprisijungusių brutalių jėgų atakų. Pavyzdžiui, jei užpuolikas nori įveikti savo kelią į jūsų „Gmail“ paskyrą, jie gali pradėti išbandyti kiekvieną galimą slaptažodį, tačiau „Google“ greitai juos išjungs. Paslaugos, suteikiančios prieigą prie tokių paskyrų, droselinės prieigos bandymus ir uždraudžia IP adresus, bandančius prisijungti tiek daug kartų. Taigi užpuolimas prieš internetinę paslaugą neveiktų pernelyg gerai, nes labai mažai bandymų gali būti sustabdytas prieš ataką.

    Pvz., Po kelių nepavykusių prisijungimo bandymų „Gmail“ parodys CATPCHA vaizdą, kad patikrintų, ar nesate automatiškai bando slaptažodžių. Tikėtina, kad jie visiškai sustabdys jūsų prisijungimo bandymus, jei pavyko tęsti pakankamai ilgai.

    Kita vertus, tarkime, kad užpuolikas užsikabino šifruotą failą iš jūsų kompiuterio arba sugebėjo kompromisuoti internetinę paslaugą ir atsisiųsti tokius užšifruotus failus. Užpuolikas dabar turi šifruotus duomenis savo aparatinėje įrangoje ir gali išbandyti tiek slaptažodžių, kiek jie nori laisvalaikio metu. Jei jie turi prieigą prie užšifruotų duomenų, nėra galimybės neleisti jiems per trumpą laiką bandyti daug slaptažodžių. Net jei naudojate stiprų šifravimą, naudinga išsaugoti savo duomenis ir užtikrinti, kad kiti negalėtų prieiti prie jo.

    Hashing

    Stiprus maišymo algoritmai gali sulėtinti brutalinių jėgų išpuolius. Iš esmės, maišymo algoritmai atlieka papildomą matematinį darbą su slaptažodžiu, prieš išsaugodami iš disko gautą reikšmę. Jei naudojamas lėtesnis maišymo algoritmas, reikės tūkstančius kartų daugiau matematinio darbo, kad išbandytumėte kiekvieną slaptažodį ir smarkiai sulėtintų brutalinių jėgų išpuolius. Tačiau, kuo daugiau darbo reikia, tuo daugiau serverio ar kito kompiuterio darbas turi būti atliekamas kiekvieną kartą, kai vartotojas prisijungia prie savo slaptažodžio. Programinė įranga turi subalansuoti atsparumą brutalių jėgų atakoms, naudojant išteklius.

    Bruto jėgos greitis

    Greitis priklauso nuo aparatūros. Žvalgybos agentūros gali sukurti specializuotą aparatūrą tik brutaliajam išpuoliui, kaip Bitcoin kalnakasiai sukuria savo specializuotą aparatūrą, optimizuotą Bitcoin kasybai. Kai kalbama apie vartotojų aparatinę įrangą, efektyviausias brutalinių jėgų atakų aparatūros tipas yra grafikos plokštė (GPU). Kadangi vienu metu galima lengvai išbandyti daug skirtingų šifravimo raktų, daug lygiagrečiai veikiančių grafikos kortelių yra idealios.

    2012 m. Pabaigoje „Ars Technica“ pranešė, kad 25-GPU klasteris gali nulaužti kiekvieną „Windows“ slaptažodį po 8 simbolių mažiau nei šešias valandas. „NTLM“ algoritmas „Microsoft“ tiesiog nebuvo pakankamai atsparus. Tačiau, kai buvo sukurtas NTLM, visi šie slaptažodžiai būtų išbandyti daug ilgiau. Tai nebuvo laikoma pakankamai grėsme „Microsoft“ šifravimui sustiprinti.

    Greitis didėja, o per kelis dešimtmečius galime atrasti, kad net ir šiuo metu naudojamus stipriausius kriptografinius algoritmus ir šifravimo raktus galima greitai suskaidyti kvantiniais kompiuteriais arba bet kokia kita aparatūra, kurią naudojame ateityje.

    Jūsų duomenų apsauga nuo brutalinių jėgų atakų

    Negalima visiškai apsisaugoti. Neįmanoma pasakyti, kaip greitai gaus kompiuterinė aparatinė įranga ir ar bet kuris iš šiandien naudojamų šifravimo algoritmų turi trūkumų, kurie bus aptikti ir išnaudojami ateityje. Tačiau čia yra pagrindai:

    • Saugokite savo užšifruotus duomenis, kai užpuolikai negali prieiti prie jo. Kai tik jūsų duomenys bus nukopijuoti į jų aparatinę įrangą, jie gali išbandyti brutalinius išpuolius prieš juos.
    • Jei naudojate bet kurią paslaugą, kuri priima prisijungimus per internetą, įsitikinkite, kad jis riboja prisijungimo bandymus ir blokuoja žmones, kurie per trumpą laiką bando prisijungti su daugybe skirtingų slaptažodžių. Paprastai serverio programinė įranga yra tokia, kad tai atliktų iš dėžutės, nes tai yra gera saugumo praktika.
    • Naudokite stiprius šifravimo algoritmus, tokius kaip SHA-512. Įsitikinkite, kad nenaudojate senų šifravimo algoritmų su žinomais trūkumais, kuriuos lengva įveikti.
    • Naudokite ilgus, saugius slaptažodžius. Visa šifravimo technologija pasaulyje nepadės, jei naudojate „slaptažodį“ arba vis populiaresnį „medžiotojų2“.

    Brutalių jėgų išpuoliai yra susirūpinimas dėl jūsų duomenų apsaugos, šifravimo algoritmų pasirinkimo ir slaptažodžių pasirinkimo. Jie taip pat yra priežastis toliau plėtoti stipresnius kriptografinius algoritmus - šifravimas turi neatsilikti nuo to, kaip greitai ji tampa neveiksminga naujai aparatūrai.

    Vaizdo kreditas: Johan Larssonas „Flickr“, Jeremy Gosney