Brute-force angreb er ret enkle at forstå, men vanskelige at beskytte mod. Kryptering er matematik , og når computere bliver hurtigere i matematik, bliver de hurtigere til at prøve alle løsningerne og se, hvilken der passer.
Disse angreb kan bruges mod enhver form for kryptering med varierende grad af succes. Brute-force-angreb bliver hurtigere og mere effektive for hver dag der går, når nyere, hurtigere computerhardware frigives.
Brute-Force basics
Brute-force angreb er enkle at forstå. En hacker har en krypteret fil - sig din LastPass eller KeePass adgangskodedatabase. De ved, at denne fil indeholder data, de vil se, og de ved, at der er en krypteringsnøgle, der låser den op. For at dekryptere det kan de begynde at prøve hver eneste mulige adgangskode og se om det resulterer i en dekrypteret fil.
De gør dette automatisk med et edb-program, så den hastighed, hvormed nogen kan brute-force-kryptering, stiger, efterhånden som tilgængelig computerhardware bliver hurtigere og hurtigere og i stand til at udføre flere beregninger pr. Sekund. Brute-force-angrebet ville sandsynligvis starte med et-cifrede adgangskoder, inden de flyttede til to-cifrede adgangskoder og så videre, og prøvede alle mulige kombinationer, indtil en fungerer.
Et “ordbogangreb” er ens og prøver ord i en ordbog - eller en liste over almindelige adgangskoder - i stedet for alle mulige adgangskoder. Dette kan være meget effektivt, da mange mennesker bruger så svage og almindelige adgangskoder.
Hvorfor angribere ikke kan brute-Force webtjenester
Der er en forskel mellem online og offline brute-force angreb. For eksempel, hvis en angriber ønsker at tvinge sig ind i din Gmail-konto, kan de begynde at prøve hver eneste mulige adgangskode - men Google afskærer dem hurtigt. Tjenester, der giver adgang til sådanne konti, vil reducere adgangsforsøg og forbyde IP-adresser, der forsøger at logge ind så mange gange. Således ville et angreb mod en onlinetjeneste ikke virke for godt, fordi meget få forsøg kan gøres, før angrebet ville blive stoppet.
For eksempel viser Gmail dig efter et par mislykkede loginforsøg et CATPCHA-billede for at bekræfte, at du ikke er en computer, der automatisk prøver adgangskoder. De stopper sandsynligvis dine loginforsøg fuldstændigt, hvis du formåede at fortsætte længe nok.
På den anden side, lad os sige, at en hacker fik en krypteret fil fra din computer eller formåede at kompromittere en onlinetjeneste og downloade sådanne krypterede filer. Angriberen har nu de krypterede data på deres egen hardware og kan prøve så mange adgangskoder, som de vil i deres fritid. Hvis de har adgang til de krypterede data, er der ingen måde at forhindre dem i at prøve et stort antal adgangskoder på kort tid. Selvom du bruger stærk kryptering, er det til din fordel at holde dine data sikre og sikre, at andre ikke har adgang til dem.
Hashing
Stærke hashingalgoritmer kan bremse brute-force angreb. I det væsentlige udfører hashingalgoritmer yderligere matematisk arbejde på en adgangskode, før de gemmer en værdi, der stammer fra adgangskoden på disken. Hvis der anvendes en langsommere hashingalgoritme, vil det kræve tusindvis af gange så meget matematisk arbejde for at prøve hver adgangskode og dramatisk bremse brute-force-angreb. Jo mere arbejde der kræves, jo mere arbejde skal en server eller anden computer hver gang gøre, når brugeren logger ind med deres adgangskode. Software skal afbalancere modstandsdygtighed mod brutale kraftangreb med ressourceforbrug.
Brute-Force hastighed
Hastighed afhænger alt af hardware. Efterretningsbureauer kan bygge specialhardware kun til brutale kraftangreb, ligesom Bitcoin-minearbejdere bygger deres egen specialiserede hardware optimeret til Bitcoin-minedrift. Når det kommer til forbrugerhardware, er den mest effektive type hardware til brutale kraftangreb et grafikkort (GPU). Da det er let at prøve mange forskellige krypteringsnøgler på én gang, er mange grafikkort, der kører parallelt, ideelle.
I slutningen af 2012, Ars Technica rapporterede at en 25-GPU-klynge kunne knække alle Windows-adgangskoder under 8 tegn på mindre end seks timer. NTLM-algoritmen, som Microsoft brugte, var bare ikke elastisk nok. Når NTLM blev oprettet, ville det dog have taget meget længere tid at prøve alle disse adgangskoder. Dette blev ikke anset for nok af en trussel for Microsoft for at gøre krypteringen stærkere.
Hastigheden stiger, og om få årtier kan vi opdage, at selv de stærkeste kryptografiske algoritmer og krypteringsnøgler, vi bruger i dag, hurtigt kan knækkes af kvantecomputere eller hvilken som helst anden hardware, vi bruger i fremtiden.
Beskyttelse af dine data mod brutale kraftangreb
Der er ingen måde at beskytte dig selv fuldstændigt på. Det er umuligt at sige, hvor hurtigt computerhardware bliver, og om nogen af de krypteringsalgoritmer, vi bruger i dag, har svagheder, der vil blive opdaget og udnyttet i fremtiden. Her er dog de grundlæggende:
- Hold dine krypterede data sikre, hvor angribere ikke kan få adgang til dem. Når de har kopieret dine data til deres hardware, kan de prøve brutale kraftangreb mod det i deres fritid.
- Hvis du kører en tjeneste, der accepterer logins over Internettet, skal du sikre dig, at den begrænser loginforsøg og blokerer personer, der forsøger at logge ind med mange forskellige adgangskoder på kort tid. Serversoftware er generelt indstillet til at gøre dette ud af kassen, da det er en god sikkerhedspraksis.
- Brug stærke krypteringsalgoritmer, såsom SHA-512. Sørg for, at du ikke bruger gamle krypteringsalgoritmer med kendte svagheder, der er lette at knække.
- Brug lange, sikre adgangskoder. Al krypteringsteknologi i verden hjælper ikke, hvis du bruger "adgangskode" eller den stadigt populære "hunter2".
Brute-force angreb er noget at være bekymret for, når du beskytter dine data, vælger krypteringsalgoritmer og vælger adgangskoder. De er også en grund til at fortsætte med at udvikle stærkere kryptografiske algoritmer - kryptering skal følge med, hvor hurtigt den bliver gjort ineffektiv af ny hardware.
Billedkredit: Johan Larsson på Flickr , Jeremy Gosney
