Объяснение атак грубой силы: как уязвимо все шифрование

  1. Основы грубой силы
  2. Почему злоумышленники не могут использовать грубые веб-сервисы
  3. хеширования
  4. Скорость грубой силы
  5. Защита ваших данных от атак грубой силы

Атаки грубой силой довольно просты для понимания, но от них трудно защититься

Атаки грубой силой довольно просты для понимания, но от них трудно защититься. Шифрование - это математика и по мере того, как компьютеры становятся быстрее в математике, они быстрее пробуют все решения и видят, какое из них подходит.

Эти атаки могут использоваться против любого типа шифрования с различной степенью успеха. Атаки грубой силой становятся быстрее и эффективнее с каждым днем ​​по мере выпуска нового, более быстрого компьютерного оборудования.

Основы грубой силы

Атаки грубой силой просты для понимания. У злоумышленника есть зашифрованный файл - скажем, ваш LastPass или же KeePass база паролей. Они знают, что этот файл содержит данные, которые они хотят видеть, и они знают, что есть ключ шифрования, который разблокирует его. Чтобы расшифровать его, они могут начать пробовать каждый возможный пароль и посмотреть, приведет ли это к расшифрованному файлу.

Они делают это автоматически с помощью компьютерной программы, поэтому скорость, с которой кто-то может зашифровать данные, увеличивается, поскольку доступное компьютерное оборудование становится все быстрее и быстрее, способным выполнять больше вычислений в секунду. Атака грубой силы, вероятно, будет начинаться с однозначных паролей, а затем переходить к двузначным паролям и т. Д., Пробуя все возможные комбинации, пока не сработает одна.

«Атака по словарю» аналогична и пробует слова в словаре - или список общих паролей - вместо всех возможных паролей. Это может быть очень эффективным, так как многие люди используют такие слабые и общие пароли.

Почему злоумышленники не могут использовать грубые веб-сервисы

Существует разница между онлайн и оффлайн атаками методом перебора. Например, если злоумышленник хочет злоумышленником проникнуть в вашу учетную запись Gmail, он может начать пробовать каждый возможный пароль, но Google быстро их отключит. Службы, предоставляющие доступ к таким учетным записям, будут блокировать попытки доступа и блокировать IP-адреса, которые пытаются войти в систему очень много раз. Таким образом, атака на онлайн-сервис не будет работать слишком хорошо, потому что может быть сделано очень мало попыток, прежде чем атака будет остановлена.

Например, после нескольких неудачных попыток входа в систему Gmail покажет вам изображение CATPCHA, чтобы убедиться, что вы не компьютер, автоматически пытающийся ввести пароль. Вероятно, они полностью остановят ваши попытки входа в систему, если вам удастся продолжить достаточно долго.

Вероятно, они полностью остановят ваши попытки входа в систему, если вам удастся продолжить достаточно долго

С другой стороны, скажем, злоумышленник захватил зашифрованный файл с вашего компьютера или сумел взломать онлайн-сервис и загрузить такие зашифрованные файлы. Теперь злоумышленник хранит зашифрованные данные на собственном оборудовании и может использовать любое количество паролей на свое усмотрение. Если у них есть доступ к зашифрованным данным, невозможно помешать им за короткий промежуток времени попробовать большое количество паролей. Даже если вы используете надежное шифрование, вам будет полезно сохранить ваши данные в безопасности и гарантировать, что другие не смогут получить к ним доступ.

хеширования

Сильные алгоритмы хеширования могут замедлить атаки методом перебора. По сути, алгоритмы хеширования выполняют дополнительную математическую работу с паролем перед сохранением значения, полученного из пароля, на диске. Если используется более медленный алгоритм хеширования, ему понадобится в тысячи раз больше математической работы, чтобы попробовать каждый пароль и значительно замедлить атаки методом перебора. Однако чем больше требуется работы, тем больше работы сервер или другой компьютер должен выполнять каждый раз, когда пользователь входит в систему со своим паролем. Программное обеспечение должно сбалансировать устойчивость против атак методом перебора и использования ресурсов.

Скорость грубой силы

Скорость все зависит от оборудования. Спецслужбы могут создавать специализированное оборудование только для атак методом "грубой силы", так же как майнеры Биткойн создают свое собственное специализированное оборудование, оптимизированное для майнинга биткойнов. Когда речь идет о потребительском оборудовании, наиболее эффективным типом оборудования для атак методом перебора является видеокарта (GPU). Поскольку легко использовать сразу несколько разных ключей шифрования, идеально подходит множество параллельно работающих видеокарт.

В конце 2012 года Ars Technica сообщила что кластер из 25 графических процессоров может взломать каждый пароль Windows длиной до 8 символов менее чем за шесть часов. Алгоритм NTLM, который использовала Microsoft, был недостаточно устойчивым. Однако, когда NTLM был создан, потребовалось бы намного больше времени, чтобы попробовать все эти пароли. Это не считалось угрозой для Microsoft, чтобы усилить шифрование.

Скорость увеличивается, и через несколько десятилетий мы можем обнаружить, что даже самые мощные криптографические алгоритмы и ключи шифрования, которые мы используем сегодня, могут быть быстро взломаны квантовыми компьютерами или любым другим оборудованием, которое мы используем в будущем.

Защита ваших данных от атак грубой силы

Нет способа полностью защитить себя. Невозможно сказать, насколько быстро будет работать компьютерное оборудование и есть ли у любого из алгоритмов шифрования, которые мы используем сегодня, недостатки, которые будут обнаружены и использованы в будущем. Тем не менее, вот основы:

  • Храните ваши зашифрованные данные в безопасном месте, где злоумышленники не смогут получить к ним доступ. После того, как они скопировали ваши данные на свое оборудование, они могут в любой момент попытаться атаковать их грубой силой.
  • Если вы запускаете какую-либо службу, которая принимает вход в систему через Интернет, убедитесь, что она ограничивает попытки входа в систему и блокирует людей, которые пытаются войти в систему с разными паролями в течение короткого периода времени. Серверное программное обеспечение, как правило, настроено на это «из коробки», так как это хорошая практика безопасности.
  • Используйте надежные алгоритмы шифрования, такие как SHA-512. Убедитесь, что вы не используете старые алгоритмы шифрования с известными слабостями, которые легко взломать.
  • Используйте длинные надежные пароли. Все технологии шифрования в мире не помогут, если вы используете «пароль» или популярный «hunter2».

Атаки методом перебора - это то, о чем нужно беспокоиться при защите ваших данных, выборе алгоритмов шифрования и выборе паролей. Они также являются причиной для продолжения разработки более надежных криптографических алгоритмов - шифрование должно соответствовать тому, насколько быстро оно становится неэффективным на новом оборудовании.

Кредит изображения: Йохан Ларссон на Flickr , Джереми Госни

Похожие

Что такое атака грубой силы?
... грубой силой (также называемая взломом грубой силы) - это эквивалент кибератаки, когда вы пытаетесь найти каждый ключ на вашем кольце для ключей и в конечном итоге найти правильный. 5% подтвержденных случаев нарушения данных в 2017 году произошли атаки грубой силы. Атаки грубой силы просто и надежно , Злоумышленники позволяют компьютеру
Атаки грубой силы: помимо основ пароля
Таким образом, у вас есть надежный пароль. Этого достаточно? Психология создания пароля предполагает, что мы не обязательно защищены от атак грубой силы. « Эвристическое грубое принуждение предоставляет хакерам возможность взломать длинные и сложные пароли, используя взлом паролей в стиле грубой силы, не тратя впустую годы, пробуя нереальные пароли », - говорит Брэндон Смит, выступая в роли
Обнаружение атак грубой силы с помощью Splunk
В этом гостевом блоге Навид Краббе (старший консультант по оперативной разведке с Splunk Partner) Function1 ) исследует использование Splunk для обнаружения атак грубой силы. Являясь лидером в области оперативного интеллекта и промежуточного программного обеспечения, Function1 не только разработал базовую архитектуру для некоторых из крупнейших в мире развертываний Splunk, но и помог разработать стандарт управления корпоративным
Инструмент грубой силы IP-Box взламывает любой пароль iPhone
Снова пароли. Всегда пароли. Пару недель назад я упомянул новая фишинговая афера нацелены на владельцев потерянных или украденных устройств Apple. Теперь появляется новая причина для повышения безопасности - или модернизации. Инструмент IP-Box, ваш онлайн по цене около 170 фунтов стерлингов, взломает четырехзначный код доступа на любом
Снимите код блокировки, перепрошив устройство в NOKIA E65
Если вы забыли пароль безопасности (также известный как код блокировки) для вашего NOKIA E65, и нет другого способа выполнить полный сброс, попробуйте загрузить новую прошивку, выполнив операцию прошивки на своем мобильном телефоне. Таким образом, вы восстановите пароль по умолчанию, но также потеряете все данные на вашем устройстве и вернете все настройки к заводскому состоянию. В следующем уроке мы шаг за шагом представим, как выполнить такую ​​операцию. Пожалуйста, помните о последствиях
Никто не пытается обмануть ваш пароль администратора WordPress
... грубой силы не происходят, полезно начать с рассмотрения того, что включает в себя атака грубой силой. Атака с использованием грубой силы относится не к какой-либо злонамеренной попытке входа в систему, а к попытке входа в систему путем попытки ввести все возможные пароли до тех пор, пока не будет найден правильный пароль, отсюда и часть имени «грубой силы». Чтобы дать вам представление о том, сколько попыток входа в систему потребуется, давайте рассмотрим пример пароля, состоящего из цифр
Как конвертировать аудио и видео файлы бесплатно
Сценарий. Вы получили аудио- или видеофайл в формате, который не поддерживается устройством, на котором вы собираетесь его воспроизводить, например, на устройстве iOS, традиционном iPod или Mac, или в форме, которую вы предпочитаете. не использовать (например, большие аудиофайлы в формате AIFF или WAV). Существует множество утилит, которые вы можете использовать для конвертации медиа файлов (а некоторые из них не являются
Акаш Трехан · Как взломать Wifi пароли
Если вы хотите взломать пароль Wi-Fi, то вы должны знать, какой тип шифрования вы используете. WEP и WPA1 могут быть легко взломаны, и вы найдете различные учебники в поиске Google. Но никто не использует эти шифрования больше. В настоящее время чаще всего используется WPA2-PSK и он очень безопасен. Есть
Как создать свой сайт бесплатно? Чистая правда о расходах
Приветствую, уважаемые читатели! Сегодняшний пост будет неким настольным руководством, напоминанием, информационным справочником или просто ведром холодной воды и правды на головы тех, кто ежедневно ищет в сети ответы на вопрос "Как создать свой сайт бесплатно." Ключевое слово здесь "бесплатно" и в ответ человек получает множество предложений, мануалов, книг, видеокурсов и других пособий, которые весело и заманчиво кричат ​​"создайте свой сайт абсолютно бесплатно!
Как использовать Velocity для простого добавления анимации
Движение привлекает наше внимание; это врожденный механизм выживания, который хорошо служил нашим предкам в течение тысяч лет. Это позволило им обнаружить хищников, подкрадывающихся к ним. В настоящее время это в основном остаточный инстинкт, который используют наши веб-дизайнеры, чтобы привлечь внимание и интерес пользователей к нашим сайтам. Добавление анимации и переходов, таких как исчезновение непрозрачности, изменение цвета, масштабирование и трехмерное движение, превращает плоский
Как взломать WiFi пароль: руководство
... грубой силы". WPS Wi-Fi может быть взломан только через 40 минут, используя Pixie Dust с Reaver. Учебник по Linux: для этого вам нужно набрать несколько команд. Как вы знаете, Linux лучше всего подходит для любого типа взлома. ПИН-код WPA-PSK может быть получен с помощью программного обеспечения aircrack-ng без необходимости установки в kali и backtrack. Этот пост поможет вам узнать как взломать

Комментарии

Я уверен, что вы достаточно слышали о Metasploit и, возможно, все еще путаете, что это такое и как его использовать?
Я уверен, что вы достаточно слышали о Metasploit и, возможно, все еще путаете, что это такое и как его использовать? Это структура означает, что это набор из числа программ. Вы можете собирать информацию, создавать вредоносные программы, взламывать FTP, взламывать Android и многое другое. Вы узнаете, когда будете его использовать. Он предварительно установлен в Кали или попугай ОС. Это платная и бесплатная версия. Конечно, у Кали есть бесплатная версия. Вы можете установить его не только в
И они ожидают, что они будут работать безупречно в течение этого периода, что не может быть в случае поломки экрана, не так ли?
И они ожидают, что они будут работать безупречно в течение этого периода, что не может быть в случае поломки экрана, не так ли? В конце концов, GL552VW мог бы стать отличной покупкой, если бы не плохое качество сборки и выбор материалов. В заключение, держитесь подальше
Карты Google используются миллионами людей каждый день, и вы можете быть одним из них, но как это на самом деле работает и как Google так хорошо поддерживает свою точность?
Карты Google используются миллионами людей каждый день, и вы можете быть одним из них, но как это на самом деле работает и как Google так хорошо поддерживает свою точность? Прочитайте больше или Google Планета Земля находится в точном отображении расстояний. Знаете ли вы, что и в Картах Google, и в Google Планета Земля есть инструменты, которые автоматически измеряют для вас расстояние и площадь?
Почему бы не первым написать краткий комментарий и одновременно помочь другим пользователям?
Почему бы не первым написать краткий комментарий и одновременно помочь другим пользователям? Лучшие практики для решения проблем с мультибаром Аккуратный и опрятный компьютер - это главное требование для избежания проблем с несколькими барами. Это включает в себя запуск поиска вредоносных программ, очистку жесткого диска с помощью cleanmgr и
Готовы опередить атаки грубой силы?
Готовы опередить атаки грубой силы? Получить 1: 1 демо чтобы узнать, как Varonis обнаруживает атаки, чтобы вы могли их остановить.
Как мы защищаемся от такого подхода?
Как мы защищаемся от такого подхода? Что ж, если вы действительно цените свою конфиденциальность, вы лучше поймете, как хакеры используют атаки методом "грубой силы", чтобы преобразовать хэш в ваш пароль, и создают пароли достаточной сложности, которые победят их атаки методом "грубой силы". Ваша организация практикует пароли здравого смысла? Поговорите и дайте мне знать.
Так что же может объяснить ложные утверждения о нападениях грубой силы?
Так что же может объяснить ложные утверждения о нападениях грубой силы? Одно из объяснений состоит в том, что эти охранные компании не имеют представления об основах безопасности, например, знают, что такое атака методом подбора. Учитывая, что вам не нужно смотреть на какой-то неясный ресурс, чтобы узнать, что они собой представляют, вы просто нужно идти в википедию Нет никаких оправданий для этого. Другое
Знаете ли вы, насколько именно социальные медиа могут повлиять на потребителей?
Знаете ли вы, насколько именно социальные медиа могут повлиять на потребителей? Согласно данные предоставлены PwC Чтение или написание комментариев и обзоров в социальных сетях затрагивает 67% потребителей, значительно влияя на их поведение в покупках. Поэтому неудивительно, что компании тратят столько времени и денег на специалистов по маркетингу и их обучение. Тем не менее, даже если вы не являетесь
Как мне использовать Velocity?
Как мне использовать Velocity? Первый шаг - загрузить код с Веб-сайт Velocity (скопируйте и вставьте код в текстовый редактор и сохраните его как «speed.min.js»). Кроме того, вы можете вставить его прямо в ваш HTML (как показано в примере кода ниже). В любом случае, включите файл Velocity, используя тег <script> перед закрывающим тегом body вашего документа, и перед тем, как в JavaScript-файле вы будете
Скорее всего, вы уже многое сделали, чтобы улучшить Безопасность WordPress а как же пользователи?
Как мне использовать Velocity? Первый шаг - загрузить код с Веб-сайт Velocity (скопируйте и вставьте код в текстовый редактор и сохраните его как «speed.min.js»). Кроме того, вы можете вставить его прямо в ваш HTML (как показано в примере кода ниже). В любом случае, включите файл Velocity, используя тег <script> перед закрывающим тегом body вашего документа, и перед тем, как в JavaScript-файле вы будете
Разве вы не знаете, что вы можете нажать на них?
Разве вы не знаете, что вы можете нажать на них? Родное распространение этого платана охватывает большую часть центральной и южной Европы. Тем не менее, вы можете найти похожее дерево в Соединенных Штатах, которое называется Американский платан ( platanus occidentalis ). Он не относится к роду acer (например, сахарные клены и платан, которые я нашел в Германии) - скорее, американский платан является представителем рода platanus. Но пусть это вас не обескураживает.

Этого достаточно?
Я уверен, что вы достаточно слышали о Metasploit и, возможно, все еще путаете, что это такое и как его использовать?
И они ожидают, что они будут работать безупречно в течение этого периода, что не может быть в случае поломки экрана, не так ли?
Карты Google используются миллионами людей каждый день, и вы можете быть одним из них, но как это на самом деле работает и как Google так хорошо поддерживает свою точность?
Знаете ли вы, что и в Картах Google, и в Google Планета Земля есть инструменты, которые автоматически измеряют для вас расстояние и площадь?
Почему бы не первым написать краткий комментарий и одновременно помочь другим пользователям?
Почему бы не первым написать краткий комментарий и одновременно помочь другим пользователям?
Готовы опередить атаки грубой силы?
Как мы защищаемся от такого подхода?
Как мы защищаемся от такого подхода?