Пояснення атак грубої сили: як вразливе все шифрування

Атаки грубою силою досить прості для розуміння, але від них важко захиститися. Шифрування - це математика, і в міру того, як комп'ютери стають швидшими в математиці, вони швидше пробують всі рішення і бачать, яке з них підходить.

Ці атаки можуть використовуватися проти будь-якого типу шифрування з різним ступенем успіху. Атаки грубою силою стають швидшими і ефективнішими з кожним днем також у міру випуску нового, швидшого комп'ютерного обладнання.

Основи грубої сили

Атаки грубою силою прості для розуміння. Зловмисник має зашифрований файл, наприклад, вашу базу паролів LastPass або KeePass. Вони знають, що цей файл містить дані, які вони хочуть бачити, і вони знають, що є ключ шифрування, який розблокує його. Щоб розшифрувати його, вони можуть почати пробувати кожен можливий пароль і подивитися, чи призведе це до розшифрованого файлу.

Вони роблять це автоматично за допомогою комп'ютерної програми, тому швидкість, з якою хтось може використовувати шифрування методом «грубої сили», збільшується, оскільки доступне комп'ютерне обладнання стає все швидше і швидше, здатним виконувати більше обчислень на секунду. Атака грубої сили, ймовірно, буде починатися з однозначних паролів, а потім переходити до двозначних паролів і т. Д., Пробуючи всі можливі комбінації, поки не спрацює одна.

«Атака за словником» аналогічна і пробує слова в словнику - або список загальних паролів - замість всіх можливих паролів. Це може бути дуже ефективним, оскільки багато людей використовують такі слабкі і загальні паролі.

Чому зловмисники не можуть використовувати грубі веб-сервіси

Існує різниця між онлайн і офлайн атаками методом перебору. Наприклад, якщо зловмисник хоче зловмисником проникнути у ваш обліковий запис Gmail, він може почати пробувати кожен можливий пароль, але Google швидко їх відключить. Служби, що надають доступ до таких облікових записів, будуть блокувати спроби доступу і блокувати IP-адреси, які намагаються увійти в систему дуже багато разів. Таким чином, атака на онлайн-сервіс не буде працювати дуже добре, тому що може бути зроблено дуже мало спроб, перш ніж атака буде зупинена.

Наприклад, після декількох невдалих спроб входу в систему Gmail покаже вам зображення CATPCHA, щоб переконатися, що ви не комп'ютер, який автоматично намагається ввести пароль. Ймовірно, вони повністю зупинять ваші спроби входу в систему, якщо вам вдасться продовжити досить довго.

З іншого боку, скажімо, зловмисник захопив зашифрований файл з вашого комп'ютера або зумів зламати онлайн-сервіс і завантажити такі зашифровані файли. Тепер зловмисник зберігає зашифровані дані на власному обладнанні і може використовувати будь-яку кількість паролів на свій розсуд. Якщо у них є доступ до зашифрованих даних, неможливо перешкодити їм за короткий проміжок часу спробувати велику кількість паролів. Навіть якщо ви використовуєте надійне шифрування, вам буде корисно зберегти ваші дані в безпеці і гарантувати, що інші не зможуть отримати до них доступ.

Хеш

Сильні алгоритми хешування можуть уповільнити атаки методом перебору. По суті, алгоритми хешування виконують додаткову математичну роботу з паролем перед збереженням значення, отриманого з пароля, на диску. Якщо використовується більш повільний алгоритм хешування, йому знадобиться в тисячі разів більше математичної роботи, щоб спробувати кожен пароль і значно уповільнити атаки методом перебору. Однак чим більше потрібно роботи, тим більше роботи сервер або інший комп'ютер повинен виконувати кожен раз, коли користувач входить в систему зі своїм паролем. Програмне забезпечення має збалансувати стійкість проти атак методом перебору і використання ресурсів.

Швидкість грубої сили

Швидкість все залежить від обладнання. Спецслужби можуть створювати спеціалізоване обладнання тільки для атак методом «грубої сили», так само як майнери Біткойн створюють своє власне спеціалізоване обладнання, оптимізоване для майнінгу біткойнів. Коли мова йде про споживче обладнання, найбільш ефективним типом обладнання для атак методом перебору є відеокарта (GPU). Оскільки легко використовувати відразу декілька різних ключів шифрування, ідеально підходить безліч паралельно працюючих відеокарт.

Наприкінці 2012 року Ars Technica повідомила, що кластер із 25 графічних процесорів може зламати кожен пароль Windows завдовжки до 8 символів менш ніж за шість годин. Алгоритм NTLM, який використовувала Microsoft, був недостатньо стійким. Однак, коли NTLM був створений, знадобилося б набагато більше часу, щоб спробувати всі ці паролі. Це не вважалося загрозою для Microsoft, щоб посилити шифрування.

Швидкість збільшується, і через кілька десятиліть ми можемо виявити, що навіть найпотужніші криптографічні алгоритми і ключі шифрування, які ми використовуємо сьогодні, можуть бути швидко зламані квантовими комп'ютерами або будь-яким іншим обладнанням, яке ми використовуємо в майбутньому.

Захист ваших даних від атак грубої сили

Немає способу повністю захистити себе. Неможливо сказати, наскільки швидко буде працювати комп'ютерне обладнання і чи є у будь-якого з алгоритмів шифрування, які ми використовуємо сьогодні, недоліки, які будуть виявлені і використані в майбутньому. Тим не менш, ось основи:

  • Зберігайте ваші зашифровані дані в безпечному місці, де зловмисники не зможуть отримати до них доступ. Після того, як вони скопіювали ваші дані на своє обладнання, вони можуть у будь-який момент спробувати атакувати їх грубою силою.
  • Якщо ви запускаєте якусь службу, яка приймає вхід в систему через Інтернет, переконайтеся, що вона обмежує спроби входу в систему і блокує людей, які намагаються увійти в систему з різними паролями протягом короткого періоду часу. Серверне програмне забезпечення, як правило, налаштоване на це «з коробки», оскільки це хороша практика безпеки.
  • Використовуйте надійні алгоритми шифрування, такі як SHA-512. Переконайтеся, що ви не використовуєте старі алгоритми шифрування з відомими слабкостями, які легко зламати.
  • Використовуйте довгі надійні паролі. Всі технології шифрування в світі не допоможуть, якщо ви використовуєте «пароль» або популярний «hunter2».

Атаки методом перебору - це те, про що потрібно турбуватися при захисті ваших даних, виборі алгоритмів шифрування і виборі паролів. Вони також є причиною для продовження розробки більш надійних криптографічних алгоритмів - шифрування має відповідати тому, наскільки швидко воно стає неефективним на новому обладнанні.