Οι βίαιες επιθέσεις είναι αρκετά απλές για να καταλάβουν, αλλά είναι δύσκολο να αντιμετωπιστούν. Ακόμα και ένα σύνθετο σύστημα κρυπτογραφίας μπορεί σήμερα να αναγκαστεί από μια επίθεση με βίαιη δύναμη (ή βίαιη δύναμη) που πραγματοποιείται από μια σειρά γρήγορων υπολογιστών.
Αυτές οι βίαιες επιθέσεις δύναμης μπορούν να ξεκινήσουν εναντίον κάθε είδους κρυπτογράφησης και γίνονται ταχύτερες και πιο αποτελεσματικές κάθε φορά που παράγονται όλο και πιο ισχυροί υπολογιστές.
Οι βίαιες επιθέσεις ή η "βίαιη δύναμη" στο πεδίο του υπολογιστή είναι αρκετά απλές.
Έχοντας ένα πρόγραμμα που προστατεύεται με κωδικό πρόσβασης, ένας χάκερ που θέλει να αποκρυπτογραφήσει αρχίζει να δοκιμάζει, σε σειρά, κάθε συνδυασμό χαρακτήρων, συμβόλων, γραμμάτων ή αριθμών μέχρι να βρεθεί το σωστό κλειδί.
Προφανώς, αυτές οι προσπάθειες δεν γίνονται με το χέρι, αλλά αυτόματα με ένα πρόγραμμα υπολογιστή που είναι τόσο πιο γρήγορο όσο ισχυρό όσο ο υπολογιστής χρησιμοποιείται.
Η επίθεση βίαιων δυνάμεων αρχίζει με κλειδιά ενός χαρακτήρα, μετά με δύο και ούτω καθεξής μέχρι να μπορέσει.
Μια επίθεση λεξικού είναι παρόμοια με τη βίαιη δύναμη, αλλά αναζητά λέξεις γραμμένες σε ένα λεξικό που είναι μια λίστα με κοινούς κωδικούς πρόσβασης .
Στην πράξη, αντί να δοκιμάζουμε όλους τους πιθανούς συνδυασμούς κωδικών πρόσβασης, δοκιμάζουμε αυτές τις λέξεις που χρησιμοποιούνται περισσότερο από ανθρώπους, όπως για παράδειγμα, ονόματα, ονόματα πόλεων, ονόματα ποδοσφαιριστών, χρόνια και ημερομηνίες κ.ο.κ.
Λάβετε υπόψη ότι οι κωδικοί πρόσβασης και τα κλειδιά κρυπτογράφησης είναι διαφορετικά: το κλειδί δημιουργείται με εντελώς τυχαίο τρόπο, ενώ ο κωδικός πρόσβασης πρέπει να είναι αποθηκευμένος και να εισαχθεί χειροκίνητα, ώστε να είναι μια απλούστερη λέξη.
Η εύρεση του κλειδιού κρυπτογράφησης είναι δύσκολη και απαιτεί επίθεση Brute Force ενώ οι κωδικοί πρόσβασης εντοπίζονται με απλές επιθέσεις λεξικού.
Οι βίαιες επιθέσεις δεν λειτουργούν για ιστότοπους .
Υπάρχει σαφής διαφορά μεταξύ μιας επιγραμμικής και μιας offline επίθεσης βίας.
Για παράδειγμα, εάν ένας εισβολέας ήθελε να κλέψει τον κωδικό μου Gmail, δεν κατάφερε να βρει τον κωδικό πρόσβασής μου δοκιμάζοντας τους διάφορους συνδυασμούς στον ιστότοπο του Gmail, επειδή η Google το εμποδίζει.
Μετά από αρκετές προσπάθειες, στην πραγματικότητα, αποκλείει την πρόσβαση, ζητώντας να εισαγάγετε έναν κωδικό Captcha για να αποτρέψετε την πρόσβαση σε ορισμένα αυτόματα προγράμματα.
Οι υπηρεσίες που παρέχουν πρόσβαση σε ηλεκτρονικούς λογαριασμούς, καθώς και οι προσπάθειες πρόσβασης στο Facebook και όσοι προσπαθούν να συνδεθούν πάρα πολλές φορές με λάθος κωδικούς πρόσβασης.
Από την άλλη πλευρά, εάν ο χάκερ είχε πρόσβαση σε έναν υπολογιστή που διαθέτει πρόγραμμα διαχείρισης κωδικού πρόσβασης με κρυπτογραφημένο κλειδί, μπορεί να έχει όλο τον χρόνο να ξεκινήσει μια επίθεση βίαιης δύναμης ή λεξικού κρατώντας τον ενεργό μέχρι να βρεθεί ο κωδικός πρόσβασης. .
Τότε δεν υπάρχει τρόπος να αποφευχθεί η προσπάθεια ενός μεγάλου αριθμού κωδικών πρόσβασης σε σύντομο χρονικό διάστημα.
Θεωρητικά, καμία κρυπτογράφηση δεν είναι ανίκανη ακόμα και αν μπορεί να διαρκέσει περισσότερο από ένα μήνα για να σπάσει τις πιο δύσκολες αντιστάσεις.
κατακερματισμός
Ισχυροί αλγόριθμοι κατακερματισμού μπορούν να επιβραδύνουν τις επιθέσεις βίαιων δυνάμεων.
Αυτοί οι αλγόριθμοι Hash, όπως οι SHA1 και MD5, κάνουν πρόσθετη μαθηματική εργασία σε έναν κωδικό πρόσβασης πριν την αποθηκεύσουν.
Μια επίθεση βίαιης δύναμης θα είναι πολύ πιο αργή με κρυπτογράφηση κατακερματισμού.
Η ταχύτητα μιας επίθεσης Brute-Force εξαρτάται εξ ολοκλήρου από το υλικό που χρησιμοποιείται.
Οι υπηρεσίες πληροφοριών μπορούν να δημιουργήσουν μόνο εξειδικευμένο υλικό για να βρουν κλειδιά κρυπτογράφησης.
Ως ένδειξη στον ιστότοπο του Ars Tecnica αναφέρεται ότι μια ομάδα 25 μονάδων GPU θα μπορούσε να σπάσει κάθε κωδικό πρόσβασης των Windows έως και 8 χαρακτήρες σε λιγότερο από έξι ώρες. Ο χρησιμοποιούμενος αλγόριθμος Microsoft NTLM δεν είναι πια αρκετά ανθεκτικός, αλλά κατά το χρόνο δημιουργίας του.
Προστατέψτε τα δεδομένα μας από επιθέσεις βίαιης δύναμης.
Δεν υπάρχει κανένας τρόπος να προστατευθείτε εντελώς, αλλά είναι απίθανο κάποιος να χυθεί επιθέσεις μεγάλης βίας σε βάρος μας, απλούς θνητούς.
Επομένως, δεν χρειάζεται να ανησυχείτε πάρα πολύ για να υποφέρετε από τόσο πολύπλοκες επιθέσεις στο κυβερνοχώρο.
Ωστόσο, είναι σημαντικό να διατηρήσετε ασφαλείς τα κρυπτογραφημένα δεδομένα, προσπαθώντας να μην επιτρέψετε σε κανέναν να την αποκτήσει πρόσβαση και να χρησιμοποιήσει αυτοπροσώπως δημιουργούμενους κωδικούς ασφαλείας (επομένως, κλειδιά κρυπτογράφησης)
Αντίθετα, το πρόβλημα είναι να υπερασπιστούμε τις επιθέσεις κοινωνικής μηχανικής για να κλέβουμε τα προσωπικά δεδομένα και να εξαπατούμε, τα οποία δεν βασίζονται τόσο στην τεχνική όσο στην εφευρετικότητα και την πονηριά.
Για παράδειγμα, μην ανοίγετε μηνύματα ηλεκτρονικού ταχυδρομείου που να ζητούν πρόσβαση στον τραπεζικό μας λογαριασμό μέσω του διαδικτύου για να τα εξασφαλίσετε ή να εγκρίνετε νέους κανόνες.
Δεύτερον, ωστόσο, είναι πάντα σημαντικό να χρησιμοποιείτε σύνθετους κωδικούς πρόσβασης και να ακολουθείτε τις συμβουλές για να δημιουργήσετε έναν ισχυρό κωδικό πρόσβασης για όλους τους ιστότοπους, ώστε να μπορούν να τον θυμούνται.
Μπορείτε πάντα να χρησιμοποιήσετε ένα πρόγραμμα όπως το LastPass ή το KeePass για τη διαχείριση των κωδικών πρόσβασης κεντρικά, καλύπτοντας όλους τους κωδικούς πρόσβασης με ένα κλειδί κρυπτογράφησης.
