Атаки методом грубой силы довольно просты для понимания, но от них сложно защититься. Шифрование - это математика , и по мере того, как компьютеры становятся быстрее в математике, они быстрее пробуют все решения и видят, какое из них подходит.
Эти атаки могут быть использованы против любого типа шифрования с разной степенью успеха. Атаки методом грубой силы становятся быстрее и эффективнее с каждым днем по мере выпуска нового и более быстрого компьютерного оборудования.
Основы грубой силы
Атаки грубой силы просты для понимания. У злоумышленника есть зашифрованный файл - скажем, ваш LastPass или KeePass база паролей. Они знают, что этот файл содержит данные, которые они хотят видеть, и знают, что есть ключ шифрования, который его разблокирует. Чтобы расшифровать его, они могут начать пробовать каждый возможный пароль и посмотреть, приведет ли это к расшифровке файла.
Они делают это автоматически с помощью компьютерной программы, поэтому скорость, с которой кто-то может использовать шифрование методом перебора, увеличивается по мере того, как доступное компьютерное оборудование становится все быстрее и быстрее, способным выполнять больше вычислений в секунду. Атака полным перебором, скорее всего, начнется с однозначных паролей, прежде чем перейти к двузначным паролям и так далее, пробуя все возможные комбинации, пока одна из них не сработает.
«Атака по словарю» аналогична и пробует слова в словаре - или в списке общих паролей - вместо всех возможных паролей. Это может быть очень эффективным, поскольку многие люди используют такие ненадежные и распространенные пароли.
Почему злоумышленники не могут использовать веб-сервисы методом перебора
Есть разница между атаками методом грубой силы онлайн и офлайн. Например, если злоумышленник хочет взломать вашу учетную запись Gmail, он может начать пробовать все возможные пароли, но Google быстро их отключит. Службы, предоставляющие доступ к таким учетным записям, будут ограничивать попытки доступа и запрещать IP-адреса, которые пытаются войти в систему столько раз. Таким образом, атака на онлайн-сервис не будет работать слишком хорошо, потому что можно сделать очень мало попыток, прежде чем атака будет остановлена.
Например, после нескольких неудачных попыток входа в систему Gmail покажет вам изображение CATPCHA, чтобы убедиться, что ваш компьютер не пытается автоматически вводить пароли. Скорее всего, они полностью остановят ваши попытки входа в систему, если вам удастся продолжить работу достаточно долго.
С другой стороны, предположим, что злоумышленник перехватил зашифрованный файл с вашего компьютера или сумел взломать онлайн-службу и загрузить такие зашифрованные файлы. Злоумышленник теперь имеет зашифрованные данные на своем собственном оборудовании и может пробовать любое количество паролей на досуге. Если у них есть доступ к зашифрованным данным, невозможно помешать им попробовать большое количество паролей за короткий промежуток времени. Даже если вы используете надежное шифрование, в ваших интересах сохранить свои данные в безопасности и гарантировать, что другие не смогут получить к ним доступ.
Хеширование
Сильные алгоритмы хеширования могут замедлить атаки методом перебора. По сути, алгоритмы хеширования выполняют дополнительную математическую работу с паролем перед сохранением значения, полученного из пароля, на диске. Если используется более медленный алгоритм хеширования, для проверки каждого пароля потребуется в тысячи раз больше математической работы, что значительно замедлит атаки методом перебора. Однако чем больше требуется работы, тем больше работы приходится выполнять серверу или другому компьютеру каждый раз, когда пользователь входит в систему со своим паролем. Программное обеспечение должно сбалансировать устойчивость к атакам методом грубой силы с использованием ресурсов.
Скорость грубой силы
Скорость все зависит от железа. Спецслужбы могут создавать специализированное оборудование только для атак методом грубой силы, точно так же, как майнеры биткойнов создают собственное специализированное оборудование, оптимизированное для майнинга биткойнов. Когда дело доходит до потребительского оборудования, наиболее эффективным типом оборудования для атак методом перебора является видеокарта (GPU). Поскольку одновременно легко попробовать несколько разных ключей шифрования, идеальным вариантом является одновременная работа нескольких видеокарт.
В конце 2012 г. Об этом сообщает Ars Technica что кластер на 25 GPU может взломать любой пароль Windows длиной менее 8 символов менее чем за шесть часов. Алгоритм NTLM, который использовал Microsoft, был недостаточно устойчивым. Однако, когда был создан NTLM, пробовать все эти пароли потребовалось бы гораздо больше времени. Microsoft не сочла это достаточной угрозой, чтобы усилить шифрование.
Скорость растет, и через несколько десятилетий мы можем обнаружить, что даже самые надежные криптографические алгоритмы и ключи шифрования, которые мы используем сегодня, могут быть быстро взломаны квантовыми компьютерами или любым другим оборудованием, которое мы будем использовать в будущем.
Защита ваших данных от атак методом перебора
Невозможно полностью защитить себя. Невозможно сказать, насколько быстрым станет компьютерное оборудование и есть ли у каких-либо алгоритмов шифрования, которые мы используем сегодня, недостатки, которые будут обнаружены и использованы в будущем. Однако вот основы:
- Храните зашифрованные данные в надежном месте, где злоумышленники не смогут получить к ним доступ. Как только они скопируют ваши данные на свое оборудование, они могут на досуге попробовать атаки методом перебора.
- Если вы запускаете какую-либо службу, которая принимает вход в систему через Интернет, убедитесь, что она ограничивает попытки входа в систему и блокирует людей, которые пытаются войти в систему с разными паролями за короткий период времени. Серверное программное обеспечение обычно настроено на это сразу, поскольку это хорошая практика безопасности.
- Используйте надежные алгоритмы шифрования, такие как SHA-512. Убедитесь, что вы не используете старые алгоритмы шифрования с известными уязвимостями, которые легко взломать.
- Используйте длинные и надежные пароли. Все технологии шифрования в мире бесполезны, если вы используете «пароль» или всегда популярный «hunter2».
Атаки методом грубой силы - это то, о чем следует беспокоиться при защите ваших данных, выборе алгоритмов шифрования и выборе паролей. Они также являются причиной для продолжения разработки более надежных криптографических алгоритмов - шифрование должно соответствовать тому, насколько быстро оно становится неэффективным из-за нового оборудования.
Кредит изображения: Йохан Ларссон на Flickr , Джереми Госни
