Объяснение атак грубой силы: как уязвимо все шифрование

  1. Основы грубой силы
  2. Почему злоумышленники не могут использовать грубые веб-сервисы
  3. хеширования
  4. Скорость грубой силы
  5. Защита ваших данных от атак грубой силы

Атаки грубой силой довольно просты для понимания, но от них трудно защититься

Атаки грубой силой довольно просты для понимания, но от них трудно защититься. Шифрование - это математика и по мере того, как компьютеры становятся быстрее в математике, они быстрее пробуют все решения и видят, какое из них подходит.

Эти атаки могут использоваться против любого типа шифрования с различной степенью успеха. Атаки грубой силой становятся быстрее и эффективнее с каждым днем ​​по мере выпуска нового, более быстрого компьютерного оборудования.

Основы грубой силы

Атаки грубой силой просты для понимания. У злоумышленника есть зашифрованный файл - скажем, ваш LastPass или же KeePass база паролей. Они знают, что этот файл содержит данные, которые они хотят видеть, и они знают, что есть ключ шифрования, который разблокирует его. Чтобы расшифровать его, они могут начать пробовать каждый возможный пароль и посмотреть, приведет ли это к расшифрованному файлу.

Они делают это автоматически с помощью компьютерной программы, поэтому скорость, с которой кто-то может зашифровать данные, увеличивается, поскольку доступное компьютерное оборудование становится все быстрее и быстрее, способным выполнять больше вычислений в секунду. Атака грубой силы, вероятно, будет начинаться с однозначных паролей, а затем переходить к двузначным паролям и т. Д., Пробуя все возможные комбинации, пока не сработает одна.

«Атака по словарю» аналогична и пробует слова в словаре - или список общих паролей - вместо всех возможных паролей. Это может быть очень эффективным, так как многие люди используют такие слабые и общие пароли.

Почему злоумышленники не могут использовать грубые веб-сервисы

Существует разница между онлайн и оффлайн атаками методом перебора. Например, если злоумышленник хочет злоумышленником проникнуть в вашу учетную запись Gmail, он может начать пробовать каждый возможный пароль, но Google быстро их отключит. Службы, предоставляющие доступ к таким учетным записям, будут блокировать попытки доступа и блокировать IP-адреса, которые пытаются войти в систему очень много раз. Таким образом, атака на онлайн-сервис не будет работать слишком хорошо, потому что может быть сделано очень мало попыток, прежде чем атака будет остановлена.

Например, после нескольких неудачных попыток входа в систему Gmail покажет вам изображение CATPCHA, чтобы убедиться, что вы не компьютер, автоматически пытающийся ввести пароль. Вероятно, они полностью остановят ваши попытки входа в систему, если вам удастся продолжить достаточно долго.

Вероятно, они полностью остановят ваши попытки входа в систему, если вам удастся продолжить достаточно долго

С другой стороны, скажем, злоумышленник захватил зашифрованный файл с вашего компьютера или сумел взломать онлайн-сервис и загрузить такие зашифрованные файлы. Теперь злоумышленник хранит зашифрованные данные на собственном оборудовании и может использовать любое количество паролей на свое усмотрение. Если у них есть доступ к зашифрованным данным, невозможно помешать им за короткий промежуток времени попробовать большое количество паролей. Даже если вы используете надежное шифрование, вам будет полезно сохранить ваши данные в безопасности и гарантировать, что другие не смогут получить к ним доступ.

хеширования

Сильные алгоритмы хеширования могут замедлить атаки методом перебора. По сути, алгоритмы хеширования выполняют дополнительную математическую работу с паролем перед сохранением значения, полученного из пароля, на диске. Если используется более медленный алгоритм хеширования, ему понадобится в тысячи раз больше математической работы, чтобы попробовать каждый пароль и значительно замедлить атаки методом перебора. Однако чем больше требуется работы, тем больше работы сервер или другой компьютер должен выполнять каждый раз, когда пользователь входит в систему со своим паролем. Программное обеспечение должно сбалансировать устойчивость против атак методом перебора и использования ресурсов.

Скорость грубой силы

Скорость все зависит от оборудования. Спецслужбы могут создавать специализированное оборудование только для атак методом "грубой силы", так же как майнеры Биткойн создают свое собственное специализированное оборудование, оптимизированное для майнинга биткойнов. Когда речь идет о потребительском оборудовании, наиболее эффективным типом оборудования для атак методом перебора является видеокарта (GPU). Поскольку легко использовать сразу несколько разных ключей шифрования, идеально подходит множество параллельно работающих видеокарт.

В конце 2012 года Ars Technica сообщила что кластер из 25 графических процессоров может взломать каждый пароль Windows длиной до 8 символов менее чем за шесть часов. Алгоритм NTLM, который использовала Microsoft, был недостаточно устойчивым. Однако, когда NTLM был создан, потребовалось бы намного больше времени, чтобы попробовать все эти пароли. Это не считалось угрозой для Microsoft, чтобы усилить шифрование.

Скорость увеличивается, и через несколько десятилетий мы можем обнаружить, что даже самые мощные криптографические алгоритмы и ключи шифрования, которые мы используем сегодня, могут быть быстро взломаны квантовыми компьютерами или любым другим оборудованием, которое мы используем в будущем.

Защита ваших данных от атак грубой силы

Нет способа полностью защитить себя. Невозможно сказать, насколько быстро будет работать компьютерное оборудование и есть ли у любого из алгоритмов шифрования, которые мы используем сегодня, недостатки, которые будут обнаружены и использованы в будущем. Тем не менее, вот основы:

  • Храните ваши зашифрованные данные в безопасном месте, где злоумышленники не смогут получить к ним доступ. После того, как они скопировали ваши данные на свое оборудование, они могут в любой момент попытаться атаковать их грубой силой.
  • Если вы запускаете какую-либо службу, которая принимает вход в систему через Интернет, убедитесь, что она ограничивает попытки входа в систему и блокирует людей, которые пытаются войти в систему с разными паролями в течение короткого периода времени. Серверное программное обеспечение, как правило, настроено на это «из коробки», так как это хорошая практика безопасности.
  • Используйте надежные алгоритмы шифрования, такие как SHA-512. Убедитесь, что вы не используете старые алгоритмы шифрования с известными слабостями, которые легко взломать.
  • Используйте длинные надежные пароли. Все технологии шифрования в мире не помогут, если вы используете «пароль» или популярный «hunter2».

Атаки методом перебора - это то, о чем нужно беспокоиться при защите ваших данных, выборе алгоритмов шифрования и выборе паролей. Они также являются причиной для продолжения разработки более надежных криптографических алгоритмов - шифрование должно соответствовать тому, насколько быстро оно становится неэффективным на новом оборудовании.

Кредит изображения: Йохан Ларссон на Flickr , Джереми Госни