Brute-Force คืออะไรและจะปลอดภัยได้อย่างไร?

ในที่สุด เราก็พบคำตอบของความหมายของคำถามชีวิต แต่มีปัญหาเล็กน้อย อยู่ที่คอมพิวเตอร์ของ John เพื่อนร่วมห้องของคุณ เขายังสร้างโฟลเดอร์บนเดสก์ท็อป “ความหมายของชีวิตคือ…” แต่มันถูกเข้ารหัสด้วยรหัสผ่าน

เสียงในหัวของคุณกระซิบ: "การ โจมตีด้วยกำลังเดรัจฉาน"

“ พลังเดรัจฉานคืออะไร” , คุณถามตัวเอง “แล้วใครพูดล่ะ”

พยายามไม่สนใจคำถามหลัง คุณจึงถามจอห์นว่า “เฮ้ คุณช่วยบอกรหัสผ่านให้ฉันทราบได้ไหม ฉันอยากรู้ความหมายของชีวิตด้วย”

จอห์นปฏิเสธและออกไปทำงาน ล้อเล่นครับพี่ไม่มีงานทำ

นอกจากจะรบกวนคุณแล้ว นั่นคือ เขาออกไปซื้อเบียร์ ดังนั้นคุณจึงมีเวลาคิดรหัสผ่าน

“ โจมตีด้วยกำลังเดรัจฉาน” เสียงยืนยัน

ไม่ใช่ “John123” หรือ “beer4me” คุณโทรหาแม่ของเขาแล้ว แต่ก็ไม่ใช่ “Ilovegingercookies” ด้วย น่าแปลกใจอย่างแน่นอน มีชุดค่าผสมนับล้าน

คุณทำงานอะไร?

(BRUTE-FORCE… โอเค โอเค คุณขัดจังหวะเสียงแล้วเริ่มค้นหาโดย Google)

คุณพบ ข้อเท็จจริง บางอย่างเกี่ยวกับ Curios B rute-Forcing :

• ความพยายามในการแฮ็กโดยใช้กำลังเดรัจฉานหรือการโจมตีด้วยพจนานุกรม เพิ่มขึ้น 400% ในปี 2560
• 86% ของสมาชิกใช้รหัสผ่าน ซึ่งรั่วไหลไปแล้วในการละเมิดข้อมูลอื่นๆ และพร้อมให้ผู้โจมตีใช้ในรูปแบบข้อความธรรมดา
• “123456789” สามารถแตกได้ 431 ครั้ง ในชั่วพริบตา แต่ “A23456789” ใช้เวลาประมาณ 40 ปีในการแตก
• อาจใช้เวลาประมาณ 30-40,000 ปีในการบังคับใช้รหัสผ่าน 12 หลัก
• การโจมตีด้วยกำลังดุร้าย ใช้ชุดค่าผสมหลายพันล้านชุดเพื่อจี้รหัสผ่านของคุณ
• ผู้ใช้มากกว่า 290,000 คนใช้รหัสผ่าน “123456”

D efinition ของ B rute Force คืออะไร?

การบังคับแบบดุร้าย เป็นวิธีการค้นหาที่ละเอียดถี่ถ้วน ซึ่งพยายามทำทุกวิถีทางเพื่อแก้ไขปัญหา โดยไม่สามารถเดาหรือรับรหัสผ่านได้ – ตัวเลือกที่เหลือคือ… ทำลายมัน

การแฮ็กด้วยกำลังดุร้ายใช้อัลกอริธึมการคำนวณที่ทดสอบชุดรหัสผ่านที่เป็นไปได้ทั้งหมด ดังนั้นเมื่อความยาวของรหัสผ่านเพิ่มขึ้น เวลาที่ใช้ในการทำลายรหัสผ่านก็เช่นกัน

นี่คือเหตุผลที่การ โจมตีด้วยรหัสผ่านแบบเดรัจฉาน อาจต้องใช้เวลาหลายร้อยหรือล้านปีจึงจะเสร็จสมบูรณ์

สงสัยว่าจะใช้เวลานานแค่ไหนในการทำลายรหัสผ่านของคุณ?

เพียงหลีกเลี่ยงการคุยโวเกี่ยวกับการโพสต์รหัสผ่านจริง และเปลี่ยนมันซะ ถ้าปรากฎว่ามันง่ายเกินไป ตอนนี้เราต้องพูดถึง

ประเภทของการโจมตีด้วยกำลังดุร้าย

แม้ว่าการ โจมตีด้วยกำลังเดรัจฉาน แต่ละ ครั้ง มีเป้าหมายเดียวกัน แต่ก็มีการใช้วิธีการที่แตกต่างกัน ที่พบมากที่สุดคือ

พจนานุกรมโจมตี

อันนี้อ่านทุกคำในพจนานุกรมเพื่อค้นหารหัสผ่าน รหัสผ่านและวลีที่ใช้กันทั่วไปจะรวมอยู่ในการค้นหาด้วย ดังนั้นหากรหัสผ่านของคุณคือ “รหัสผ่าน” หรือ “123456” จะใช้เวลาสองสามวินาทีในการถอดรหัส

ย้อนกลับการโจมตีด้วยกำลังเดรัจฉาน

สิ่งเหล่านี้เกิดขึ้นเมื่อผู้โจมตีมีรหัสผ่านของคุณ แต่ไม่ใช่ชื่อผู้ใช้ของคุณ มันใช้วิธีเดียวกับการโจมตีด้วยกำลังเดรัจฉานปกติ

เป็นไปได้ที่จะเริ่มโจมตีทั้งชื่อผู้ใช้และรหัสผ่าน แต่จะใช้เวลามากขึ้น - ทำให้โอกาสในการประสบความสำเร็จยิ่งน้อยลง

การรีไซเคิลข้อมูลประจำตัว

นี้คือการโจมตีที่แฮกเกอร์ใช้ประโยชน์จากช่องโหว่รหัสผ่านแล้ว หากมีคนขโมยรหัสผ่าน YouTube ของคุณ พวกเขาจะพยายามเข้าถึง Facebook, Twitter และอื่นๆ ด้วยข้อมูลประจำตัวเดียวกัน

เป็นการดีที่สุดที่จะใช้รหัสผ่านเฉพาะสำหรับบัญชีออนไลน์ทุกบัญชีที่คุณมี แม้ว่าการจดจำรายละเอียดทั้งหมดเหล่านี้อาจเป็นเรื่องที่น่าหงุดหงิด โชคดีที่เรามีตัว จัดการรหัสผ่าน สำหรับสิ่งนั้น บางตัวก็ใช้งานได้ฟรีด้วยซ้ำ

วิธีการ Brute Force?

คำนิยามที่กำลังดุร้ายทำให้มันชัดเจนจริงๆวิธีที่จะสามารถดึงออกมา ด้วยการอ่านบางส่วน คุณต้องการเพียงเล็กน้อยเพื่อสร้างความเสียหายจริงๆ มีซอฟต์แวร์มากมายสำหรับจุดประสงค์นี้เช่นกัน เรามาดูบางส่วนของมัน

จอห์น เดอะ ริปเปอร์

เป็น เครื่องมือโจมตีเดรัจฉาน ที่เป็นที่นิยม ซึ่งเป็นที่ชื่นชอบมาเป็นเวลานาน ฟรีแน่นอนและรองรับ 15 แพลตฟอร์มที่แตกต่างกัน – Windows, DOS, OpenVMS, Unix ฯลฯ John the Ripper มีฟีเจอร์การถอดรหัสรหัสผ่านที่หลากหลายและสามารถโจมตีด้วยพจนานุกรมได้

เรนโบว์แคร็ก

อันนี้ค่อนข้างแตกต่างจากเครื่องมือบังคับเดรัจฉานอื่น ๆ เพราะมันสร้าง ตารางสีรุ้ง ที่คำนวณล่วงหน้า ซึ่งจะช่วยลดเวลาในการทำการโจมตี เครื่องมือนี้ยังอยู่ในระหว่างการพัฒนาและพร้อมใช้งานสำหรับ Windows และ Linux OS

เคนและอาเบล

คุณสามารถใช้วิธีการนี้ในการ ดักจับเครือข่าย บันทึกการสนทนา VoIP ถอดรหัสรหัสผ่านที่มีสัญญาณรบกวน และอื่นๆ ซอฟต์แวร์ป้องกันไวรัสอย่าง Avast ตรวจพบว่าเป็นมัลแวร์ ดังนั้นคุณควรบล็อกโปรแกรมป้องกันไวรัสก่อนเริ่ม

DaveGrohl

เครื่องมือโจมตีแรงเดรัจฉานสำหรับ Mac OS เป็นโอเพ่นซอร์สและมีโหมดที่ให้คุณโจมตีจากคอมพิวเตอร์หลายเครื่องด้วยรหัสผ่านเดียวกัน ทำให้คาด เดารหัสผ่าน ได้เร็วยิ่งขึ้น

แตก

หนึ่งในเครื่องมือถอดรหัสรหัสผ่านที่เก่าแก่ที่สุด ใช้งานได้กับระบบ UNIX เท่านั้น กลยุทธ์ดังกล่าวรวมถึงการตรวจสอบรหัสผ่านที่ไม่รัดกุมและการโจมตีด้วยพจนานุกรม

แฮชแคท

มันอ้างว่าเป็นเครื่องมือถอดรหัสรหัสผ่านที่ใช้ CPU ที่เร็วที่สุด สามารถใช้บนแพลตฟอร์ม Windows, Linux และ Mac และใช้งานได้ฟรี มีชื่อเสียงอย่างกว้างขวางในด้านตัวเลือกมากมายที่มาพร้อมกับ - พจนานุกรม, ดุร้าย, การโจมตีแบบไฮบริด และอีกมากมาย Hashcat ใช้อัลกอริธึมมากกว่า 230 รายการ

Aircrack-ng

นี่คือตัว เดารหัสผ่าน ไร้สายยอดนิยม ซึ่ง พร้อมใช้งานสำหรับ Windows และ Linux และยังได้รับการพอร์ตให้ทำงานบน iOS และ Android ด้วยเครื่องมือนี้ คุณสามารถค้นหารหัสผ่านของเครือข่ายไร้สายได้อย่างมีประสิทธิภาพ

ตอนนี้คุณรู้เครื่องมือแล้ว แต่ยังมีอีกมาก...

การมี CPU ที่ปรับปรุงแล้ว (หน่วยประมวลผลกลาง) และ GPU (หน่วยประมวลผลกราฟิก) จะเป็นประโยชน์อย่างมากต่อการโจมตีแบบเดรัจฉาน

จำนวนครั้งในการลองต่อวินาทีมีความสำคัญต่อกระบวนการ โดยทั่วไปแล้ว คอร์ของ CPU จะเร็วกว่าคอร์ของ GPU มาก แต่ GPU นั้นยอดเยี่ยมในการประมวลผลการคำนวณทางคณิตศาสตร์ GPU จำนวนมากขึ้นสามารถเพิ่มความเร็วของคุณได้โดยไม่มีขีดจำกัด

ตัวอย่างเช่น ในการ ทำลายรหัสผ่าน 8 ตัว บน CPU จะใช้เวลา (1.7*10^-6 * 52^8) วินาที / 2 หรือ 1.44 ปี สำหรับ GPU จะใช้เวลาประมาณ 5 วันเท่านั้น สำหรับซูเปอร์คอมพิวเตอร์ จะใช้เวลา 7.6 นาที

“เพียงเพราะคุณเป็นคนหวาดระแวง ไม่ได้หมายความว่าพวกเขาไม่ตามคุณ” โจเซฟ เฮลเลอร์กล่าว ดังนั้น...

นี่คือเคล็ดลับในการป้องกันการโจมตีด้วยกำลังดุร้าย

เรายังคงรอให้บางสิ่งบางอย่างบนโลกใบนี้ได้รับการปกป้องอย่างสมบูรณ์ ในระหว่างนี้ คุณสามารถรวมมาตรการรักษาความปลอดภัยสองสามอย่าง

Captcha

เป็นวิธีการรับรู้ว่าคอมพิวเตอร์หรือมนุษย์พยายามเข้าสู่ระบบหรือไม่ คุณได้ทำเครื่องหมายในช่อง "ฉันไม่ใช่หุ่นยนต์" หลายครั้งแน่นอน มันสมเหตุสมผลแล้ว แต่คอมพิวเตอร์ฉลาด มีวิธีสอนเครื่องจำลองพฤติกรรมมนุษย์ การใช้ captcha อย่างเดียวไม่ได้ผล

การตรวจสอบสิทธิ์สองขั้นตอน

เป็นอีกวิธีที่มีประโยชน์ในการรับรองความเป็นส่วนตัวของคุณ การรับรองความถูกต้องมักมาในรูปแบบของรหัสที่ส่งไปยังมือถือของคุณ เพียงให้แน่ใจว่าจะไม่ทำโทรศัพท์ของคุณหาย

การจำกัดความพยายามในการเข้าสู่ระบบ

สามารถเพิ่มการรักษาความปลอดภัยอีกชั้นหนึ่งได้ เซิร์ฟเวอร์บนเว็บเริ่มแสดงแคปต์ชาหากคุณกดรหัสผ่านผิดสามครั้งขึ้นไป พวกเขาอาจบล็อกที่อยู่ IP ของคุณ สิ่งนี้จะทำให้การบังคับเดรัจฉานช้าลงหรือไร้ประโยชน์โดยสิ้นเชิง

การเข้ารหัส

จำเป็นต้องมีอัลกอริธึมการเข้ารหัสที่แข็งแกร่งเช่น SHA-512 ตรวจสอบให้แน่ใจว่าคุณไม่ได้ใช้อัลกอริธึมเก่าที่มีจุดอ่อนที่ทราบ

การเข้ารหัสแบบ 256 บิตเป็นหนึ่งใน วิธีการเข้ารหัสที่ปลอดภัยที่สุด ดังนั้นจึงเป็นวิธีที่จะไปได้แน่นอน เวลาถอดรหัสการเข้ารหัส 256 บิต โดยใช้กำลังเดรัจฉานต้องใช้ พลังประมวลผลมากกว่า 2 ¹²⁸ เท่าเพื่อให้ตรงกับคีย์ 128 บิต

และขั้นตอนสุดท้ายคือความซับซ้อน P@$sw0rd-101 แน่นอน

รวมทั้งหมดข้างต้นและคุณจะปลอดภัยที่สุด การให้ความรู้บุคลากรของคุณในหัวข้อนี้ยังจะเพิ่มโอกาสในการป้องกันแรงเดรัจฉานโจมตี

ตอนนี้คุณมีความรู้ คุณได้จัดการเปิดการ โจมตีด้วยกำลังเดรัจฉาน บนคอมพิวเตอร์ของจอห์น ทันเวลาพอดี.

(เสียงมีความสุข)

ใช้เวลาเพียงไม่กี่วินาทีและรหัสผ่านของเขาก็ถูกถอดรหัส “DAdams” – ไม่ปลอดภัย – ในที่สุดคุณเปิดโฟลเดอร์และพบว่าความหมายของชีวิตคือ… 42 !

จริงเหรอ จอห์น?

ในด้านบวก คุณได้เรียนรู้ ว่ากำลังเดรัจฉานคืออะไร และ จะใช้การโจมตีแบบเดรัจฉาน อย่างไร