Deși Apple nu l-a confirmat oficial niciodată, se presupune că în 2014 gigantul tehnologic a fost victima unui mic, dar dezastruos, bresa de securitate pe serviciul dvs. de stocare iCloud. Există motive să presupunem că lipsa protecției împotriva atacurilor cu forță brută a permis furtul de fotografii private ale diferitelor vedete, fapt care a fost suficient pentru ca Apple, la scurt timp după atacuri, să pună în aplicare măsuri de protecție. De atunci, mecanismul de securitate constă în faptul că utilizatorii au maximum zece încercări de a face acest lucru introduceți parola; în caz contrar, contul este blocat și titularul contului este notificat. Înainte ca fotografiile să fie difuzate, nu exista o limită pentru introducerea parolelor incorecte, astfel încât proiectarea unui atac cu forță brută a fost doar o chestiune de timp.

forței

Ce este mai exact forța brută?

Termenul de forță brută se traduce prin forță brută și se referă la o metodă de rezolvare a problemelor din domeniul informaticii, criptografiei și teoriei jocurilor. Metoda forței brute primește acest nume deoarece se bazează pe încercați toate sau multe dintre soluțiile posibile, cunoscut și sub denumirea de căutare exhaustivă și utilizat, mai ales atunci când nu există alți algoritmi disponibili. Această tehnică este utilizată de hackeri pentru a sparge parolele și astfel a avea acces la date externe. Pentru aceasta, se folosește un software cu un algoritm simplu care realizează succesiunea diferitelor combinații de caractere compuse din cifre, spații și litere până la o lungime maximă definită.

Cu cât parolele sunt mai scurte, cu atât vor fi descoperite mai repede prin forță brută. Acesta este motivul pentru care, în general, se recomandă întotdeauna utilizarea parolelor care includ caractere diferite și de ce majoritatea sistemelor de criptare a parolelor utilizează chei foarte lungi. Deoarece cerințele tehnice pentru atacurile cu forță brută sunt din ce în ce mai ușor de realizat, este posibil să se realizeze mai mult numărul de încercări pe unitate de timp, ceea ce face ca un sistem de protecție împotriva așa-numitelor forțe brute să fie o necesitate.

De ce nu ar trebui să luați ușor atacurile de forță brută?

Având în vedere natura primitivă a metodei, ne-am aștepta să fie aplicate măsuri de securitate adecvate, din păcate acest lucru nu este întotdeauna cazul. Potenţial, orice sistem conectat la Internet poate fi compromis de aceste atacuri. Odată ce un hacker a trecut neobservat și a fost conectat la un sistem (ceva ce se poate întâmpla mai repede decât crezi), spargerea parolelor nu va fi dificilă. Majoritatea sistemelor de operare rulează fișiere și baze de date în care sunt stocate ID-urile de utilizator și parolele. De exemplu, pe sistemele Windows, parolele acestea se găsesc în fișierul .sam și pe sistemele unixoid din fișierul .psswd sau .shadow.

Deși parolele din aceste fișiere nu sunt în format text, deoarece au fost codificate anterior folosind algoritmi criptografici, atacatorul poate accesa fișierele dacă nu sunt protejate împotriva accesului neautorizat. Poate crea o copie a fișierului și poate executa diverse atacuri cu forță brută asupra acestuia, fără a fi nevoie să mențină conexiunea la sistem. În prezent, în principiu, există doar trei variabile care facilitează îndeplinirea misiunii atacatorului:

  • durata fiecărui pas de verificare
  • lungime parola
  • complexitate parola

Durata fiecărui pas de verificare, adică timpul folosit pentru a încerca fiecare parolă posibilă, depinde de puterea de calcul pe care atacatorul o are la dispoziție. Cu cât mai multă putere, cu atât succesiunea încercărilor este mai rapidă. Lungimea și complexitatea determină numărul de combinații de caractere posibile care pot compune o parolă și, prin urmare, numărul de opțiuni care trebuie utilizate în timpul atacului cu forță brută. Iată un exemplu despre modul în care lungimea și complexitatea parolei afectează durata:

Numărul de caractere Tipul caracterului Lungimea maximă a parolei Combinații posibile Puterea de calcul Durata căutării exhaustive
26 de caractere 72 de caractere
Minuscule Majuscule și minuscule, caractere speciale, numere
8 caractere 8 caractere
Aproximativ. 209 milioane Aproximativ. 722 miliarde
Aproximativ. 100 de milioane de funcții hash pe secundă Aproximativ. 100 de milioane de funcții hash pe secundă
Aproximativ. 35 de minute Aproximativ. 83 de zile

Tabelul arată că, cu o parolă simplă și folosind 26 de caractere, un computer modern Aș verifica toate combinațiile posibile în doar 35 de minute. Dacă secvența se extinde la 72 de caractere, cu aceeași putere de calcul, metoda forței brute ar dura aproximativ 83 de zile pentru a fi finalizată. Cu toate acestea, nu este recomandabil să aveți încredere, deoarece metodele de cracare, cum ar fi atac de dicționar (combinații de cuvinte) sau utilizarea scânduri curcubeu (secvențele adiacente de parole) pot accelera durata unui atac de forță brută.

Cum să vă protejați de aceste atacuri?

Indiferent dacă un atac cu forță brută vizează fișierul de parolă central al unui sistem sau, ca în cazul iCloud, atacatorul are ID-ul Apple al victimei, precedentele dovedesc importanța protejării împotriva acestei metode omniprezente. În general, majoritatea utilizatorilor știu principiile de bază pentru creați parole puternice: trebuie utilizate combinații formate din diferite tipuri de caractere; În cel mai bun caz, este utilizați majuscule și minuscule, precum și cifre și caractere speciale. Și, desigur, cu cât parola este mai lungă, cu atât este mai greu să hack.

Peisajul pentru a crea parole pentru servicii online Este puțin mai complicat, deoarece este supus condițiilor stabilite de furnizor. Cerințele tipice sunt o lungime maximă de opt până la zece caractere și adesea a număr limitat de numere și litere, ceva care fără măsurile de securitate suplimentare nu este foarte satisfăcător. În aceste cazuri, trebuie să fiți conștienți de precauțiile și măsurile operatorilor de proiecte web în ceea ce privește atacurile cu forță brută. Dacă sunteți administratorul unui site web cu un mecanism de autentificare, toată această responsabilitate va cădea pe umerii dvs. Pentru aceasta aveți două abordări posibile:

  • Asigurarea protecției mecanismului de parolă
  • Pentru a stabili un metoda de autentificare multi-factor

Protejarea mecanismului de parolă ar trebui să fie o componentă standard în măștile de acces, totuși, așa cum arată scandalul iCloud menționat anterior, acest lucru nu este întotdeauna cazul. Acest proces de protecție se referă la implementarea strategiilor care îngreunează funcționarea software-ului de forță brută. Astfel, în cazul în care utilizatorul sau atacatorul introduce o parolă incorectă, opțiunea de a introduce o altă parolă va apărea numai după o scurtă perioadă de timp. De asemenea, este posibil să măriți timpul de așteptare pe măsură ce crește numărul de încercări nereușite. Pentru a face un pas mai departe, așa cum a făcut Apple după atac, este posibil să blocați complet contul utilizatorului după un anumit număr de încercări de înregistrare.

Metodele de autentificare multi-factor sunt adesea oferite ca opțiune de mulți furnizori. Cu acestea, faceți procesul de înregistrare puțin mai dificil, deoarece pe lângă parolă, este necesar ca utilizatorul să introducă o componentă suplimentară. Această componentă poate fi răspunsul la o întrebare secretă, un cod PIN sau așa-numitul captcha. Acestea din urmă sunt mici teste care vor permite autorității de notificare să determine dacă este un utilizator uman sau, așa cum este de obicei în atacurile cu forță brută, un robot.

Alătură-te forțelor pentru a lupta cu forța brută

În plus față de măsurile menționate mai sus, există câteva trucuri suplimentare pentru a preveni atacurile cu forță brută. În general, toate programele de forță brută funcționează cu diferite modele de identificare, ceea ce devine un obstacol, de exemplu, când mesajele de eroare standardele nu sunt trimise înapoi în browser, ci redirecționate către un sistem extern (de exemplu, către o altă pagină web). Un alt factor care poate reprezenta probleme pentru unele instrumente de hacking este folosiți nume diferite pentru câmpuri și texte care apar după o încercare eșuată de conectare. În orice caz, dacă doriți să creșteți securitatea site-ului și a parolelor dvs., este întotdeauna recomandat să implementați, în același timp, mai multe măsuri de protecție împotriva atacurilor cu forță brută.

Pentru unele platforme și aplicații există pluginuri sau extensii specifice pentru a preveni atacurile cu forță brută. Jetpack add on, care, în principiu, facilitează administrarea paginilor web în WordPress, s-a integrat, de exemplu, un modul de prevenit Atacuri periculoase care se bazează pe o listă de adrese IP blocate. Adresele IP colectate în această listă sunt legate într-un fel de toate atacurile cu forță brută efectuate pe site-urile web WordPress.