Annons
Om du läser våra säkerhetsartiklar regelbundet - som den här om testa ditt lösenord styrka Testa din lösenordstyrka med samma verktyg som hackare använderÄr ditt lösenord säkert? Verktyg som bedömer din lösenordsstyrka har dålig noggrannhet, vilket innebär att det enda sättet att verkligen testa dina lösenord är att försöka bryta dem. Låt oss titta på hur. Läs mer - du har antagligen hört uttrycket "brute force attack." Men vad betyder det egentligen? Hur fungerar det? Och hur kan du skydda dig mot det? Här är vad du behöver veta.
Brute Force Attacks: The Basics
När det handlar om det är ett brute force-attack verkligen enkelt: ett datorprogram försöker gissa a lösenord eller en krypteringsnyckel genom att iterera igenom alla möjliga kombinationer av ett visst antal tecken. Låt oss till exempel säga att du skrev en app som försökte brute tvinga ett fyra-siffrigt iPhone-lösenord. Det kan gissa 1111, sedan 1112, sedan 1113, 1114, 1115 och så vidare tills det kom till 9999.
Samma princip kan tillämpas med mer komplicerade lösenord. En brute force-algoritm kan börja med aaaaaa, aaaaab, aaaaaac, fortsätt sedan till saker som aabaa1, aabaa2, aabaa3, och så vidare, genom alla sexteckens kombinationer av antal och bokstäver ner till zzzzzz, zzzzz1 och bortom.
Det finns också en teknik som kallas den omvända brute force attacken, där ett lösenord försöks mot många olika användarnamn. Detta är mindre vanligt och svårare att använda framgångsrikt, men det går runt några vanliga motåtgärder.
Som ni ser är detta ett ganska inelegant sätt att gissa ett lösenord. Teoretiskt, om du hade tillräckligt med datorkraft och tillräckligt med energi, kan du gissa alla lösenord. Men om du använder något annat än ett kort, enkelt lösenord, har du ingenting att oroa dig för, som mängden av datorkraft som det skulle ta för att gissa ett längre lösenord skulle kräva en enorm mängd energi och det kan ta flera år komplett.
Avancerade brute Force Attacks
Eftersom brute force attacker på allt annat än mycket enkla lösenord är tyvärr ineffektiva och tidskrävande, har hackare kommit med några verktyg som gör dem mer effektiva.
En ordbokangrepp, till exempel, uppdateras inte bara genom alla möjliga kombinationer av tecken; den använder ord, siffror eller strängar av tecken från en förkompilerad lista som hackaren anser vara minst något mer troligt än i genomsnitt att dyka upp i ett lösenord (detta är den typ av attack du kan köra med ganska enkel programvara för testning av nätpenetration Hur man testar ditt hemnätverkssäkerhet med gratis hackverktygInget system kan vara helt "hack-proof" men webbläsarsäkerhetstester och nätverksskydd kan göra din installation mer robust. Använd dessa gratisverktyg för att identifiera "svaga platser" i ditt hemnätverk. Läs mer ).
Till exempel kan en ordbokattack försöka ett antal vanliga lösenord innan du går in i en standardbrute-attack, som "lösenord", "mypassword", "letmein" och så vidare. Eller så kan det lägga till ”2016” i slutet av alla lösenord som det försöker innan det går till nästa lösenord.
Det finns olika metoder för att använda brute force-attacker, men de förlitar sig alla på att prova ett stort antal lösenord så snabbt som möjligt tills det rätta hittas. Vissa kräver mer datorkraft, men sparar tid; vissa är snabbare, men kräver en större mängd lagring som ska användas under attacken.
Där brute Force Attacks är farliga
Attacker av brute force kan användas på allt som har ett lösenord eller en krypteringsnyckel, men på många platser där de skulle kunna ha använt effektiva motåtgärder mot dem (som du ser i nästa avsnitt).
Du är i faran från en våldsam attack om du tappar dina data och en hacker tar tag i dem - en gång det finns på deras dator, några av de skyddsåtgärder som finns på din maskin eller online kan vara kringgås.
Hur kan en missvisande få dina data till sin dator? Du kan tappa en flash-enhet, kanske genom att lämna den i fickan på dina kläder som du skickade till en kemtvätt, som 4500 flash-enheter hittades 2009 i Storbritannien. Eller, som de andra 12 500 enheterna som hittades, kan du lämna en telefon eller en bärbar dator i en hytt. Det är en enkel sak att göra.
Eller kanske någon kunde ladda ner något från en molntjänst eftersom du delade en osäker förkortad länk Kommer förkortade länkar att kompromissa med din säkerhet?En ny studie visade att bekvämligheten för URL-förkortare som bit.ly och goo.gl kan medföra en betydande risk för din säkerhet. Är det dags att avsluta URL-förkortningsverktyg? Läs mer . Eller kanske du träffades med några ransomware som inte bara låste din dator utan också stal några av dina filer.
Poängen med allt detta är att brute Force Attacks inte är effektiva på vissa platser, men det finns många sätt på vilka de kan distribueras mot dina data. Det bästa sättet att förhindra att dina data kommer in på en hackers dator är att hålla dig noga med var dina enheter (särskilt flashenheter!) Är.
Skydda mot brute Force Attacks
Det finns ett antal försvar som webbplatser eller appar kan använda mot brute Force Attacks. En av de enklaste och mest använda är lockout: om du anger ett felaktigt lösenord ett visst antal gånger blir kontot låst och du måste kontakta kundservice eller din IT avdelning. Detta stoppar en brautattack i dess spår.
En liknande taktik kan användas med a CAPTCHA utmaning Allt du någonsin ville veta om CAPTCHA men var rädd att fråga [Teknisk förklaring]Älska dem eller hata dem - CAPTCHA har blivit allestädes närvarande på Internet. Vad i alla fall är en CAPTCHA i alla fall, och var kom den ifrån? Ansvarig för ögon-belastning över hela världen, den ödmjuka CAPTCHA ... Läs mer eller andra liknande uppgifter. Ingen av dessa metoder fungerar mot en omvänd brute-kraftattack, eftersom det bara misslyckas med ett lösenordstest en gång för varje konto.
En annan metod som kan användas för att förhindra dessa attacker (både standard och omvänd) är tvåfaktorautentisering Vad är tvåfaktorsautentisering och varför du ska använda denTvåfaktorautentisering (2FA) är en säkerhetsmetod som kräver två olika sätt att bevisa din identitet. Det används ofta i vardagen. Att till exempel betala med kreditkort kräver inte bara kortet, ... Läs mer (2FA); även om en hacker gissar rätt lösenord kommer kravet på en annan kod eller inmatning att stoppa en attack även om den gissar rätt lösenord. Lyckligtvis är fler och fler tjänster med 2FA Lås ner dessa tjänster nu med tvåfaktorautentiseringTvåfaktorautentisering är det smarta sättet att skydda dina onlinekonton. Låt oss ta en titt på några av de tjänster du kan låsa ner med bättre säkerhet. Läs mer in i deras system. den kan vara ett besvär Kan verifiering i två steg vara mindre irriterande? Fyra hemliga hackar garanterade att förbättra säkerhetenVill du ha kortsäker kontosäkerhet? Jag föreslår starkt att du aktiverar det som kallas "tvåfaktors" -autentisering. Läs mer , men det kommer att skydda dig mot många attacker.
Det är värt att notera att även om denna taktik är utmärkt för att undvika attacker av brute force, kan de också användas för att attackera en webbplats på andra sätt. Till exempel, om en brute force-attack inleds mot en webbplats som låser konton efter fem felaktiga försök, kan deras kundtjänst bli översvämmad av samtal, vilket bromsar webbplatsen. Det kan också användas som en del av en distribuerad attack för avslag på tjänst Vad är en DDoS-attack? [MakeUseOf Explains]Begreppet DDoS visslar förbi när cyberaktivismen leder upp en massa. Den här typen av attacker gör internationella rubriker på grund av flera orsaker. De frågor som hoppar igång dessa DDoS-attacker är ofta kontroversiella eller mycket ... Läs mer .
Det överlägset enklaste sättet att skydda dig mot en brute Force Attack är att använda ett långt lösenord. När lösenordets längd ökar växer den beräkningskraft som krävs för att gissa alla möjliga teckenkombinationer mycket snabbt. I ett papper om säkerhetsriskerna för URL-förkortare visade forskarna hur fem-, sex- och sju karaktärsymboler var lätt att gissa, men 11- och 12-karaktersbrickor var nästan omöjliga.
Du kan använda samma logik på dina lösenord. Använd starka lösenord 6 tips för att skapa ett obrottsligt lösenord som du kan komma ihågOm dina lösenord inte är unika och obrytbara kan du lika gärna öppna ytterdörren och bjuda in rånarna till lunch. Läs mer , och du kommer bara vara immun mot brute force-attacker.
En överraskande effektiv attack
För hur enkel och inelegant det är - det kallas ”brute force” av en anledning, trots allt - denna typ av attack kan vara förvånansvärt effektiv för att få tillgång till lösenordsskyddade och krypterade områden. Men nu när du vet hur attacken fungerar och hur du kan skydda dig mot den borde du inte ha mycket att oroa dig för!
Använder du tvåfaktorautentisering? Känner du till andra bra försvar mot attacker av brute force? Dela dina tankar och tips nedan!
Bildkrediter: TungCheung via Shutterstock, cunaplus via Shutterstock.
Dann är en innehållsstrategi och marknadskonsult som hjälper företag att skapa efterfrågan och leder. Han bloggar också om strategi och innehållsmarknadsföring på dannalbright.com.
