Вот как работает эта распространенная атака и как обезопасить себя от нее.
Если вы иногда просматривали статьи по безопасности или слышали о серьезных нарушениях, вам, вероятно, знаком термин «атака методом перебора». Но вы можете не знать точно, что это значит.
Давайте рассмотрим, что такое атака методом перебора, как она обычно работает и как можно защитится от неё.
Основы атак методом перебора
На фундаментальном уровне атака методом перебора действительно проста. Этот "взлом" пароля относится к угадыванию каждой возможной комбинации, пока злоумышленник, в конечном итоге, не подберет заветную буквенно-цифровую комбинацию. Современные компьютерные мощности позволяют осуществлять миллионы операций в секунду и подбирать, казалось бы сложные пароли, за очень короткое время.
Таким образом, в большинстве базовых атак методом перебора компьютерная программа пытается угадать пароль или ключ шифрования, перебирая все возможные комбинации для определенного количества символов.
Например, предположим, что вы написали утилиту, которая пыталась бы "угадать" пароль на вашем смартфоне из четырех цифр. Он начинался с угадывания 0000, затем 0001, затем 0002, 0003 и так далее, пока не дошел до 9999.
Тот же принцип работает и с более сложными паролями. Алгоритм "brut force" (атака "грубой силы"), пытающийся взломать пароль с шестью буквенно-цифровыми символами, может начинаться с aaaaaa, aaaaab, aaaaac и так далее. Затем он перейдет к включению чисел (и, возможно, заглавных букв), таких как aabaa1, aabaa2, aabaa3 и многое другое. Это будет проходить через все возможные шестисимвольные комбинации цифр и букв, вплоть до zzzzzz, zzzzz1 и далее.
Существует также связанная техника, известная как обратная атака методом перебора, в которой вы пробуете один общий пароль против множества разных имен пользователей. Это менее распространено и более сложно успешно использовать, но это позволяет обойти некоторые общие контрмеры.
Очевидно, что это не элегантный способ угадать пароль. Теоретически, если бы у вас было достаточно вычислительной мощности и времени, вы могли бы угадать любой пароль с помощью "грубой силы". Но если вы пытаетесь взломать что-либо, кроме короткого и простого пароля, атаки методом перебора неэффективны. Потребуются годы времени и тонны вычислительной мощности, чтобы подобрать надежный пароль.
Как и следовало ожидать, схемы взлома паролей стали более изощренными, чем это.
Расширенные атаки методом перебора
Поскольку атаки методом перебора ограничены при использовании против чего угодно, кроме простых паролей, у хакеров есть способы их улучшить.
Например, атака по словарю не просто перебирает все возможные комбинации символов. Вместо этого он использует слова, цифры или строки символов из предварительно составленного списка, обычно взятого из чего-то вроде списка часто просачивающихся паролей. Поскольку эти пароли настолько распространены, они, вероятно, обеспечат вход в другие учетные записи.
Например, атака по словарю может попробовать несколько распространенных паролей, таких как «password», «123456», «qwerty» и т.д., прежде чем перейти к стандартной атаке методом перебора. Или он может добавить текущий год в конец всех паролей, которые он пытается, прежде чем переходить к следующему паролю.
Словарные атаки значительно сокращают редкие комбинации паролей. Это имеет смысл — для базового восьмизначного пароля, когда кто-то с большей вероятностью будет использовать «dogs1234», чем «zp1vg8el». Злоумышленник, сосредоточив внимание сначала на более вероятных комбинациях, значительно сократит время, затрачиваемое на атаку "грубой силы".
Существуют различные методы использования атак методом перебора, но все они полагаются на то, чтобы как можно быстрее попробовать огромное количество паролей, пока не будет найден правильный. Некоторые требуют больше вычислительной мощности, но экономят время. Другие быстрее, но требуют большего количества ресурсов во время атаки.
Где опасны атаки методом перебора
Теоретически атаки методом перебора могут быть использованы на любой учетной записи или другой платформе, имеющей пароль или ключ шифрования. Но многие места, где они могли бы работать, обычно имеют эффективные контрмеры против них.
Вы находитесь в наибольшей опасности от атаки методом перебора, если потеряете свои данные, и злоумышленник завладеет ими. Как только что-то проникнет на компьютер другого человека, некоторые из мер безопасности, установленных на вашем ПК или в Интернете, могут быть легко пройдены.
Как злоумышленник может получить ваши данные на свой компьютер? Вы можете потерять флэш-накопитель, когда он выпадет из кармана. Может быть, вы оставите свой телефон в такси Взломанная облачная служба может предоставить некоторые из ваших файлов другим людям, или вредоносное ПО может скопировать ваши данные на чужой компьютер без вашего ведома.
Дело в том, что, хотя атаки методом перебора не эффективны в некоторых местах, все еще есть способы, которыми хакеры могут развернуть их против ваших данных. Чтобы избежать ситуаций, когда атака методом перебора может взломать защиту ваших данных, вы должны внимательно следить за тем, где находятся ваши устройства и файлы.
Защита от атак методом перебора
Существует ряд средств защиты, которые веб-сайты и другие инструменты используют против атак методом перебора, а также способы защиты от них.
Как службы защищают от атак методом перебора
Одной из самых простых и часто используемых защит является блокировка. При этом, если вы вводите неправильный пароль определенное количество раз, учетная запись отказывается принимать любые дальнейшие попытки входа. Чтобы повторить попытку, вам нужно связаться со службой поддержки клиентов или подождать определенное количество времени.
Это останавливает атаку методом перебора — вместо того, чтобы пробовать тысячи комбинаций за считанные минуты, необходимость ждать 10 минут или час, чтобы продолжить попытки, будет сдерживать потенциального хакера.
Веб-сайты также могут сдерживать атаки методом перебора с помощью вызова CAPTCHA или аналогичной уловки контроля пользовательских действий. Необходимость заполнять капчу каждый раз, когда вы хотите попробовать пароль, значительно замедляет процесс, разрушая суть атаки.
Однако ни один из этих методов не будет работать против обратной атаки методом перебора. Эти атаки не проходят проверку пароля только один раз для каждой учетной записи, чего, вероятно, будет недостаточно для запуска защиты.
Стоит отметить, что, хотя эта тактика отлично подходит для предотвращения атак методом перебора, они также предоставляют другие способы атаки на сайт. Например, если атака методом перебора будет запущена против сайта, который блокирует учетные записи после пяти неправильных попыток, его служба поддержки клиентов может быть наводнена звонками от законных пользователей, тем самым замедляя его работу.
Перегрузка сайта попытками перебора также может быть использована как часть распределенной атаки типа «отказ в обслуживании».
Как защитить себя от атак методом перебора
Двухфакторная аутентификация — это мощный способ защитить себя от атак методом перебора, как стандартных, так и обратных. С двухфакторной аутентификацией (2FA), даже если хакер угадает правильный пароль, необходимость ввести другой код остановит злоумышленника от получения доступа к вашей учетной записи.
Безусловно, самый простой способ защитить себя от атаки методом перебора — использовать длинный и сложный пароль. По мере увеличения длины пароля вычислительная мощность, необходимая для угадывания всех возможных комбинаций символов, растет экспоненциально.
Рассмотрим пример пароля на смартфоне, приведенный выше ☝️. Старые версии мобильных OS использовали только четырехзначный PIN-код, который имеет 10 000 возможных комбинаций. Современные версии телефонных OS, предлагают к использованию буквенно-цифровые и состоящие из более чем 4-х символов пин-коды. Это увеличивает количество возможных комбинаций до бессконечности.
В любом случае, маловероятно, что кто-то сможет фактически подобрать ваш пароль к iPhone или Android, отчасти благодаря блокировке, которая происходит после нескольких неправильных попыток. Но вы можете видеть, что, добавив еще две цифры, коэффициент защиты увеличивается в 100 раз.
В дополнение к длине, сложные пароли также намного сложнее подобрать методом перебора. Если кто-то захочет взломать ваш пароль, и не будет знать, что в нем есть строчные буквы, у него ничего не получится, потому, что количество возможных комбинаций возрастает неимоверно. Но та же длина пароля с цифрами, прописными буквами и символами увеличит время до перебора пароля практически до бесконечности.
Используйте безопасные пароли — в идеале с менеджером паролей, чтобы вам не приходилось запоминать их все — и вы будете почти невосприимчивы к атакам методом перебора.
Пароль из 12 символов, в котором используются прописные и строчные буквы, цифры и пул из 18 символов, будет иметь более 68 возможностей секстиллиона. На это уйдут столетия, чтобы выполнить перебор всех возможных комбинаций.
Атаки методом перебора могут быть эффективными в некоторых случаях
Эти виды атак просты и неэлегантны — в конце концов, название «грубая сила» этот метод и получил за свою примитивную суть. Теперь вы знаете, как работают атаки методом перебора и как защитить себя от них, поэтому вам не о чем беспокоиться.
Используйте надежные пароли и не позволяйте своим данным оказаться в месте, где они не защищены контрмерами грубой силы. Не забывайте, что есть и другие способы компрометации паролей.
