Che cos'è la forza bruta e come stare al sicuro?
Pubblicato: 2019-07-29Sommario
Qual è la definizione di forza bruta?
Tipi di attacchi di forza bruta
Come fare forza bruta?
Ecco alcuni suggerimenti per la prevenzione degli attacchi di forza bruta
Abbiamo finalmente trovato la risposta alla domanda sul significato della vita, ma c'è un piccolo problema: è sul computer del tuo coinquilino John. Ha persino creato una cartella sul desktop "Il significato della vita è...", ma è crittografata con una password.
Una voce nella tua testa ti sussurra: “ attacco a forza bruta”.
" Cos'è la forza bruta?" , ti chiedi. "E chi l'ha detto?"
Cercando di non prestare attenzione a quest'ultima domanda, vai avanti e chiedi a John: "Ehi, potresti per favore dirmi la password? Voglio anche conoscere il significato della vita”.
John si rifiutò e andò a lavorare. Sto scherzando, non ha un lavoro.
A parte infastidirti, ecco. È uscito a comprare della birra, però, quindi hai tempo per capire la password.
“ Attacco a forza bruta” , insiste la voce.
Non è "John123", né "beer4me". Hai chiamato sua madre, ma non è nemmeno "Ilovegingercookies". Certamente sorprendente. Ci sono milioni di combinazioni.
cosa fai?
(BRUTA-FORCE… Okay, okay – interrompi la voce e avvia una ricerca su google)
Trovi alcune curiosità che forzano i bruti fatti:
- I tentativi di hacking che utilizzano la forza bruta o gli attacchi tramite dizionario sono aumentati del 400% nel 2017.
- L'86% degli abbonati utilizza password, già trapelate in altre violazioni dei dati e disponibili per gli aggressori in testo normale.
- "123456789" può essere rotto 431 volte in un batter d'occhio, ma "A23456789" impiega circa 40 anni per rompersi.
- Potrebbero essere necessari circa 30-40 mila anni prima che una password di 12 cifre venga forzata in modo brutale.
- Gli attacchi di forza bruta utilizzano quadrilioni di combinazioni per dirottare la tua password.
- Più di 290.000 persone utilizzano la password “123456”.
Qual è la definizione di forza bruta?
La forzatura bruta è un metodo di ricerca esaustivo, che tenta tutte le possibilità per arrivare alla soluzione di un problema. Senza essere in grado di indovinare o ottenere la password, l'opzione rimanente è... romperla.
L'hacking di forza bruta utilizza un algoritmo di calcolo che verifica tutte le possibili combinazioni di password, quindi all'aumentare della lunghezza della password, aumenta anche il tempo necessario per romperla.
Questo è il motivo per cui gli attacchi con password di forza bruta possono richiedere centinaia o addirittura milioni di anni per essere completati.
Mi chiedo quanto tempo ci vorrà per violare la tua password?
Basta evitare di vantarsene pubblicando la password effettiva. E cambialo, se si scopre che è troppo facile. Ora dobbiamo parlare di
Tipi di attacchi di forza bruta
Sebbene ogni attacco di forza bruta abbia lo stesso obiettivo, vengono utilizzati metodi diversi. Il più comune è il
Dizionario Attack
Questo passa attraverso tutte le parole nel dizionario per trovare la password. Nella ricerca sono incluse anche le password e le frasi di uso comune, quindi se la tua password è "password" o "123456", ci vorranno un paio di secondi per decifrarla.
Attacchi inversi di forza bruta
Questi si verificano quando l'attaccante ha la tua password, ma non il tuo nome utente. Utilizza lo stesso metodo di un normale attacco di forza bruta.
È possibile lanciare un attacco sia per nome utente che per password, ma ci vorrà ancora più tempo, riducendo ulteriormente le possibilità di successo.
Riciclaggio delle credenziali
Questo è un attacco, in cui l'hacker sfrutta una password già violata . Se qualcuno può rubare la tua password di YouTube, proverà sicuramente ad accedere al tuo Facebook, Twitter, ecc. Con le stesse credenziali.
È meglio usare una password univoca per ogni account online che possiedi. Tuttavia, potrebbe essere frustrante ricordare tutti questi dettagli. Fortunatamente abbiamo dei gestori di password per questo, alcuni sono addirittura gratuiti.
Come fare forza bruta?
La definizione di forza bruta rende davvero ovvio come può essere tirato fuori. Con un po' di lettura, ti serve davvero poco per fare davvero dei danni. C'è anche un'abbondanza di software diversi per lo scopo. Diamo un'occhiata ad alcuni di esso.
Giovanni lo Squartatore
È un popolare strumento di attacco di forza bruta , che è stato uno dei preferiti per molto tempo. È assolutamente gratuito e supporta 15 piattaforme diverse: Windows, DOS, OpenVMS, Unix, ecc. John the Ripper ha varie funzionalità di cracking delle password e può eseguire attacchi di dizionario.
crepa arcobaleno
Questo è un po' diverso dagli altri strumenti di forzatura bruta perché genera tabelle arcobaleno pre-calcolate. Questo aiuta a ridurre i tempi di esecuzione dell'attacco. Lo strumento è ancora in fase di sviluppo attivo ed è disponibile per sistemi operativi Windows e Linux.
Caino e Abele
Puoi utilizzare questo approccio per lo sniffing della rete , la registrazione di conversazioni VoIP, la decodifica di password criptate e altro ancora. Un software antivirus come Avast lo rileva come malware, quindi dovresti bloccare il tuo antivirus prima di iniziare.
Dave Grohl
Uno strumento di attacco a forza bruta per Mac OS. È open source e ha una modalità che ti consente di eseguire attacchi da più computer con la stessa password. Questo rende l' indovino della password ancora più veloce.
Crepa
Uno dei più vecchi strumenti di cracking delle password. Funziona solo con il sistema UNIX. Le sue strategie includono il controllo di password deboli e l'esecuzione di attacchi con dizionario.
Hashcat
Afferma di essere lo strumento di cracking delle password basato su CPU più veloce. Può essere utilizzato su piattaforme Windows, Linux e Mac ed è completamente gratuito. Ampiamente rinomato per la vasta gamma di opzioni di cui dispone: dizionario, forza bruta, attacchi ibridi e altro ancora. Hashcat utilizza più di 230 algoritmi.
Aircrack-ng
Questo è un popolare indovinatore di password wireless , disponibile per Windows e Linux ed è stato anche portato per funzionare su iOS e Android. Con lo strumento, puoi trovare efficacemente la password di una rete wireless.
Ora conosci gli strumenti, ma c'è di più...
Avere una CPU (Central Processing Unit) e una GPU (Graphics Processing Unit) migliorate può trarre grandi vantaggi da un attacco di forza bruta.
Il numero di tentativi che puoi fare al secondo è cruciale per il processo. Un core della CPU è generalmente molto più veloce di un core della GPU, ma una GPU è eccellente nell'elaborazione di calcoli matematici. Più GPU possono aumentare la velocità senza alcun limite massimo.
Ad esempio, per violare una password di 8 caratteri su una CPU, ci vorranno (1,7*10^-6 * 52^8) secondi/2 o 1,44 anni. Su una GPU, questo richiederebbe solo circa 5 giorni. Su un supercomputer, ci vorrebbero 7,6 minuti.
"Solo perché sei paranoico non significa che non ti stiano cercando", ha detto Joseph Heller, quindi...
Ecco alcuni suggerimenti per la prevenzione degli attacchi di forza bruta
Stiamo ancora aspettando che qualcosa su questo pianeta sia completamente protetto. Nel frattempo, puoi combinare un paio di misure di sicurezza.
captcha
è un modo per riconoscere se un computer o un essere umano sta tentando di accedere. Hai spuntato il campo "Non sono un robot" numerose volte, sicuramente. Ha senso ora. Ma i computer sono intelligenti. Ci sono modi per insegnare alla macchina a simulare il comportamento umano. L'uso di captcha da solo non funziona.
Autenticazione in due passaggi
è un altro modo utile per garantire la tua privacy. L'autenticazione si presenta comunemente sotto forma di un codice inviato al tuo cellulare. Assicurati solo di non perdere il telefono.
Limitazione dei tentativi di accesso
può aggiungere un ulteriore livello di sicurezza. I server basati sul Web iniziano a mostrare i captcha se si digita la password errata tre o più volte. Potrebbero persino bloccare il tuo indirizzo IP. Ciò renderà la forzatura ancora più lenta o del tutto inutile.
Crittografia
È essenziale disporre di un algoritmo di crittografia forte come SHA-512. Assicurati di non utilizzare un vecchio algoritmo con punti deboli noti.
La crittografia a 256 bit è uno dei metodi di crittografia più sicuri , quindi è sicuramente la strada da percorrere. Il tempo di crack della crittografia a 256 bit con la forza bruta richiede una potenza di calcolo 2 128 volte maggiore per corrispondere a quella di una chiave a 128 bit.
E l'ultimo passo è la complessità P@$sw0rd-101, ovviamente.
Combina tutto quanto sopra e sarai il più sicuro possibile. Educare il personale sull'argomento aumenterà anche la possibilità di prevenzione degli attacchi di forza bruta .
Ora hai la conoscenza. Sei riuscito a sferrare un attacco di forza bruta al computer di John. Appena in tempo.
(la voce è felice)
Ci vogliono solo un paio di secondi e la sua password viene decifrata. “DAdams” – non così sicuro – finalmente apri la cartella e vedi che il senso della vita è… 42 !
Davvero, Giovanni?
Il lato positivo è che hai imparato cos'è la forza bruta e come usare un attacco di forza bruta .
FAQ
Il principio è molto semplice. Indovina le password utilizzando la velocità e i calcoli effettuati dal computer.
Dipende dalla difficoltà della password e da altre funzionalità di sicurezza che potresti avere. La forza bruta può richiedere un secondo o migliaia di anni.
Una combinazione di complessità della password, tentativi di accesso limitati, captcha, algoritmo di crittografia e autenticazione in due passaggi fornirà la migliore protezione possibile.
C'è una varietà di buoni software che puoi usare: John the Ripper, Cain and Abel, Crack, OphCrack, THC Hydra, ecc. Assicurati di controllare i requisiti specifici prima di utilizzare uno qualsiasi degli strumenti.
L'algoritmo di forza bruta consiste nel controllare tutte le posizioni nel testo e se un'occorrenza del modello inizia o meno da lì. Dopo ogni tentativo, sposta il modello esattamente di una posizione a destra. Ecco un chiaro esempio.
Teoricamente sì, anche se ci vorrebbe più di un miliardo di anni. AES non è mai stato ancora craccato ed è sicuro di dire che ti proteggerà da qualsiasi attacco di forza bruta.
Una password sicura è lunga e contiene lettere, numeri e simboli. Evita le parole del dizionario e le frasi comuni. In genere, una password facile da ricordare per te sarà facile da hackerare per gli altri.
Scoprire una password senza conoscerla prima. Utilizzi un computer per fare calcoli e provare ogni possibile combinazione fino a quando non viene rivelata la password. A seconda delle misure di sicurezza, il processo può richiedere da secondi a migliaia di anni.