Útoky hrubou silou jsou poměrně snadno pochopitelné, ale je obtížné je chránit. Šifrování je matematika a jak se počítače zrychlují v matematice, zrychlují se při zkoušení všech řešení a při pohledu na to, které se hodí.
Tyto útoky lze použít proti jakémukoli typu šifrování s různou mírou úspěšnosti. Útoky hrubou silou jsou s každým dalším dnem rychlejší a efektivnější, protože se vydává novější a rychlejší počítačový hardware.
Základy brutální síly
Útoky hrubou silou jsou snadno pochopitelné. Útočník má zašifrovaný soubor - řekněme váš LastPass nebo KeePass databáze hesel. Vědí, že tento soubor obsahuje data, která chtějí vidět, a vědí, že existuje šifrovací klíč, který je odblokuje. Aby to mohli dešifrovat, mohou začít zkoušet každé možné heslo a zjistit, zda to má za následek dešifrovaný soubor.
Dělají to automaticky pomocí počítačového programu, takže rychlost, s jakou někdo může šifrování hrubou silou, roste, protože dostupný počítačový hardware je stále rychlejší a rychlejší a je schopen provádět více výpočtů za sekundu. Útok hrubou silou by pravděpodobně začal u jednociferných hesel, než by se přesunul k dvouciferným heslům a tak dále, zkoušel by všechny možné kombinace, dokud by jedna nefungovala.
„Slovníkový útok“ je podobný a zkouší slova ve slovníku - nebo v seznamu běžných hesel - místo všech možných hesel. To může být velmi účinné, protože mnoho lidí používá tak slabá a běžná hesla.
Proč útočníci nemohou brutálně vynutit webové služby
Mezi online a offline útoky hrubou silou je rozdíl. Například pokud chce útočník hrubou silou proniknout do vašeho účtu Gmail, může začít zkoušet každé možné heslo - ale Google je rychle ořízne. Služby, které poskytují přístup k těmto účtům, omezují pokusy o přístup a zakazují adresy IP, které se tolikrát pokoušejí přihlásit. Útok proti online službě by tedy nefungoval příliš dobře, protože by bylo možné provést velmi málo pokusů, než by byl útok zastaven.
Například po několika neúspěšných pokusech o přihlášení vám Gmail zobrazí obrázek CATPCHA, který ověří, že nejste počítačem, který automaticky zkouší hesla. Pravděpodobně úplně zastaví vaše pokusy o přihlášení, pokud se vám podařilo pokračovat dostatečně dlouho.
Na druhou stranu řekněme, že útočník zachytil zašifrovaný soubor z vašeho počítače nebo se mu podařilo prolomit online službu a stáhnout tyto šifrované soubory. Útočník má nyní šifrovaná data na svém vlastním hardwaru a může si ve svém volném čase vyzkoušet tolik hesel, kolik chtějí. Pokud mají přístup k šifrovaným datům, neexistuje žádný způsob, jak jim zabránit ve vyzkoušení velkého počtu hesel v krátkém časovém období. I když používáte silné šifrování, je vaším přínosem udržovat vaše data v bezpečí a zajistit, aby k nim ostatní neměli přístup.
Hashing
Silné hashovací algoritmy mohou zpomalit útoky hrubou silou. Algoritmy hash v zásadě provádějí další matematické práce s heslem před uložením hodnoty odvozené z hesla na disk. Pokud se použije pomalejší algoritmus hashování, bude nutné vyzkoušet každé heslo tisíckrát tolik matematické práce a dramaticky zpomalit útoky hrubou silou. Čím více práce však bude vyžadovat, tím více práce bude muset server nebo jiný počítač provést pokaždé, když se uživatel přihlásí pomocí svého hesla. Software musí vyvážit odolnost proti útokům hrubou silou s využitím zdrojů.
Brute-Force Speed
Rychlost závisí na hardwaru. Zpravodajské agentury mohou stavět specializovaný hardware pouze pro útoky hrubou silou, stejně jako bitcoinoví horníci staví svůj vlastní specializovaný hardware optimalizovaný pro těžbu bitcoinů. Pokud jde o spotřebitelský hardware, nejúčinnějším typem hardwaru pro útoky hrubou silou je grafická karta (GPU). Jelikož je snadné vyzkoušet mnoho různých šifrovacích klíčů najednou, je ideální použít mnoho paralelních grafických karet.
Na konci roku 2012 Oznámila společnost Ars Technica že klastr s 25 GPU dokáže za méně než šest hodin prolomit každé heslo systému Windows pod 8 znaků. Algoritmus NTLM, který Microsoft použil, nebyl dostatečně odolný. Když však byl vytvořen NTLM, vyzkoušení všech těchto hesel by trvalo mnohem déle. To nebylo považováno za dostatečnou hrozbu pro Microsoft, aby bylo šifrování silnější.
Rychlost se zvyšuje a za pár desetiletí můžeme zjistit, že i ty nejsilnější kryptografické algoritmy a šifrovací klíče, které dnes používáme, mohou rychle prolomit kvantové počítače nebo jakýkoli jiný hardware, který v budoucnu použijeme.
Ochrana vašich dat před útoky hrubou silou
Neexistuje způsob, jak se úplně chránit. Nelze říci, jak rychle se počítačový hardware dostane a zda některý z šifrovacích algoritmů, které dnes používáme, má slabiny, které budou objeveny a využity v budoucnu. Zde jsou ale základy:
- Chraňte svá zašifrovaná data v místech, kde k nim útočníci nemají přístup. Jakmile budou mít vaše data zkopírována na jejich hardware, mohou proti nim ve svém volném čase vyzkoušet útoky hrubou silou.
- Pokud provozujete jakoukoli službu, která přijímá přihlášení přes internet, zajistěte, aby omezila pokusy o přihlášení a blokovala lidi, kteří se v krátkém čase pokusí přihlásit pomocí mnoha různých hesel. Serverový software je obecně nastaven na to, aby to dělal ihned po vybalení, protože je to dobrý bezpečnostní postup.
- Používejte silné šifrovací algoritmy, například SHA-512. Ujistěte se, že nepoužíváte staré šifrovací algoritmy se známými slabostmi, které lze snadno prolomit.
- Používejte dlouhá a zabezpečená hesla. Všechny technologie šifrování na světě nepomohou, pokud používáte „heslo“ nebo stále oblíbenější „hunter2“.
Při ochraně dat, výběru šifrovacích algoritmů a výběru hesel je třeba se obávat útoků hrubou silou. Jsou také důvodem k neustálému vývoji silnějších kryptografických algoritmů - šifrování musí držet krok s tím, jak rychle je nový hardware neúčinný.
Kredit obrázku: Johan Larsson na Flickru , Jeremy Gosney
