Brute Force Attacks Forklart Hvordan All Kryptering er Sårbar
Brute-force angrep er ganske enkelt å forstå, men vanskelig å beskytte mot. Kryptering er matte, og etter hvert som datamaskiner blir raskere ved matte, blir de raskere ved å prøve alle løsningene og se hvilken som passer.
Disse angrepene kan brukes mot alle typer kryptering, med varierende grad av suksess. Brute-Force-angrep blir raskere og mer effektive med hver dag som går, da nyere, raskere maskinvare blir utgitt.
Brute-Force Basics
Brute-force angrep er enkle å forstå. En angriper har en kryptert fil - si, LastPass eller KeePass passorddatabase. De vet at denne filen inneholder data de vil se, og de vet at det finnes en krypteringsnøkkel som låser den opp. For å dekryptere det, kan de begynne å prøve hvert eneste mulig passord og se om det resulterer i en dekryptert fil.
De gjør dette automatisk med et dataprogram, slik at hastigheten der noen kan brute-force kryptering øker ettersom tilgjengelig maskinvare blir raskere og raskere, i stand til å gjøre flere beregninger per sekund. Brute Force-angrepet vil sannsynligvis starte med ensifrede passord før du flytter til tosifrede passord og så videre, prøver alle mulige kombinasjoner til en fungerer.
Et "ordbokangrep" er lik og prøver ord i en ordbok - eller en liste over vanlige passord - i stedet for alle mulige passord. Dette kan være veldig effektivt, så mange bruker slike svake og vanlige passord.
Hvorfor angripere ikke kan brute-Force webtjenester
Det er en forskjell mellom online og offline brute-force angrep. For eksempel, hvis en angriper vil brute-force seg inn i Gmail-kontoen din, kan de begynne å prøve hvert eneste mulig passord - men Google vil raskt kutte dem av. Tjenester som gir tilgang til slike kontoer, vil forsøke tilgang til gasspor og forby IP-adresser som forsøker å logge inn så mange ganger. Dermed ville et angrep mot en onlinetjeneste ikke fungere for godt, fordi det kan gjøres svært få forsøk før angrepet ville stoppes.
For eksempel, etter noen få mislykkede påloggingsforsøk, viser Gmail deg et CATPCHA-bilde for å bekrefte at du ikke er en datamaskin som automatisk prøver passord. De vil sannsynligvis stoppe påloggingsforsøkene dine helt hvis du klarte å fortsette lenge nok.
På den annen side, la oss si at en angriper snagged en kryptert fil fra datamaskinen eller klarte å kompromittere en onlinetjeneste og laste ned slike krypterte filer. Angriperen har nå de krypterte dataene på egen maskinvare, og kan prøve så mange passord som de vil ha i fritiden. Hvis de har tilgang til krypterte data, er det ingen måte å forhindre at de prøver et stort antall passord på kort tid. Selv om du bruker sterk kryptering, er det til din fordel å holde dataene dine trygge og sikre at andre ikke kan få tilgang til det.
hashing
Sterke hashingalgoritmer kan redusere brute-force angrep. I hovedsak utfører ishingalgoritmer ekstra matematisk arbeid på et passord før lagring av en verdi avledet fra passordet på disken. Hvis det brukes en tregere hashingalgoritme, vil det kreve tusenvis av ganger så mye matematisk arbeid å prøve hvert passord og dramatisk redusere brute force angrep. Men jo mer arbeid som kreves, jo mer jobber en server eller annen datamaskin å gjøre hver gang brukeren logger på med passordet sitt. Programvaren må balansere motstandskraft mot brute force-angrep med ressursbruk.
Brute Force Force
Hastigheten er alt avhengig av maskinvare. Intelligensbyråer kan bygge spesialisert maskinvare bare for brute-force angrep, akkurat som Bitcoin gruvearbeidere bygger sin egen spesialiserte maskinvare optimalisert for Bitcoin-gruvedrift. Når det gjelder forbruker maskinvare, er den mest effektive typen maskinvare for brute-force angrep et grafikkort (GPU). Ettersom det er enkelt å prøve mange forskjellige krypteringsnøkler samtidig, er mange grafikkort som kjører parallelt, ideelle.
Ved utgangen av 2012 rapporterte Ars Technica at en 25-GPU-klynge kunne sprekke hvert Windows-passord under 8 tegn på mindre enn seks timer. NTLM-algoritmen Microsoft brukte var bare ikke motstandsdyktig nok. Men når NTLM ble opprettet, ville det ha tatt mye lengre tid å prøve alle disse passordene. Dette ble ikke ansett som en trussel for Microsoft for å gjøre krypteringen sterkere.
Hastigheten øker, og i noen få tiår kan vi oppdage at selv de sterkeste kryptografiske algoritmer og krypteringsnøkler vi bruker i dag, kan raskt bli sprukket av kvante datamaskiner eller hvilken annen maskinvare vi bruker i fremtiden.
Beskytte dataene dine mot brute-Force Attacks
Det er ingen måte å beskytte deg helt. Det er umulig å si hvor fort datastyring vil få, og om noen av krypteringsalgoritmene vi bruker i dag, har svakheter som vil bli oppdaget og utnyttet i fremtiden. Men her er det grunnleggende:
- Hold dine krypterte data trygge der angriperne ikke kan få tilgang til det. Når de har dataene dine kopiert til maskinvaren, kan de prøve brutale kraftangrep mot det i sin fritid.
- Hvis du kjører en tjeneste som godtar pålogginger over Internett, må du sørge for at det begrenser innloggingsforsøk og blokkerer personer som prøver å logge inn med mange forskjellige passord på kort tid. Serverprogramvare er vanligvis satt til å gjøre dette ut av boksen, da det er en god sikkerhetspraksis.
- Bruk sterke krypteringsalgoritmer, for eksempel SHA-512. Pass på at du ikke bruker gamle krypteringsalgoritmer med kjente svakheter som er lette å knekke.
- Bruk lange, sikre passord. All krypteringsteknologi i verden skal ikke hjelpe hvis du bruker "passord" eller den stadig populære "hunter2".
Brute Force-angrep er noe å være bekymret for når du beskytter dataene dine, velger krypteringsalgoritmer og velger passord. De er også en grunn til å fortsette å utvikle sterkere kryptografiske algoritmer - kryptering må holde følge med hvor raskt det blir gjort ineffektivt av ny maskinvare.
Bildekreditt: Johan Larsson på Flickr, Jeremy Gosney