Atak siłowy to jeden z najprostszych, ale bywa, niestety, skutecznych sposobów na złamanie haseł do kont bankowych, e-mail, stron www czy najróżniejszych serwisów online. Zobacz, na czym polega brute force i jak się skutecznie przed nim bronić.
Czym jest atak Brute Force?
Atak typu brute force na konto, system lub stronę internetową, to metoda używana przez przestępców, którzy próbują odgadnąć hasło poprzez przetestowanie wszystkich możliwych kombinacji znaków.
Mówiąc inaczej, agresor stara się złamać zabezpieczenia opierając się na metodzie prób i błędów. Przypomina włamywacza, który stara się dostać do mieszkania używając do pokonania zamka kolejnych wytrychów.
Atak siłowy jest jedną z najprostszych metod ataku w celu uzyskania danych dostępowych. Polega na powtarzaniu prób aż do momentu, kiedy atakujący odgadnie hasło lub zostanie zablokowany przez mechanizmy obronne.
Najprostszy przykład: jeżeli cracker wie, że właściciel konta nazywa się Jan Kowalski, to może spróbować zalogować się na jego e-maila wpisując kombinacje: jakkowalski1, jankowalski2, jankowalski3 itd.
Ręczne wpisywanie haseł to najbardziej podstawowy sposób, przestępcy używają zazwyczaj specjalnych aplikacji do łamania haseł, aby znacząco przyspieszyć cały proces.
Jeśli atakujący próbuje odgadnąć hasło składające się z 8 liter alfabetu łacińskiego (bez uwzględnienia wielkości liter) oraz cyfr, to ma do przerobienia aż 218,340,105,584,896 możliwych kombinacji. Dużo? Na pozór tak, ale mocny komputer potrzebuje tylko minuty na odgadnięcie takiego hasła.
(to dlatego należy stosować silne, czyli długie hasła dostępu do wszelkiego rodzaju serwisów i kont online – szczegóły znajdziesz niżej).
Ataki siłowe nie ograniczają się jedynie do próby odgadnięcia hasła.
Mogą także dotyczyć innych form uwierzytelnienia, np. kodu PIN, nazwy użytkownika, kluczy szyfrujących czy też ataku na klucz publiczny SSH.
Od czego zależy efektywność ataków siłowych? Od mocy obliczeniowej użytej przez agresora (np. połączenie mocy procesorów i procesorów graficznych pozwala na 250 razy szybsze łamanie zabezpieczeń) oraz długości hasła dostępu. Agresor stosuje zazwyczaj programy automatyzujące proces przeglądania możliwych haseł.
W przyszłości – po upowszechnieniu komputerów kwantowych, na początku 2023 roku kosztowały ok. 15 mln dolarów – ataki brute force staną się bardziej skuteczne, a dzisiejsze szyfrowanie będzie zapewne niewystarczające. Powstaną nowe metody szyfrowania, jednak część danych zapisanych w kopii zapasowej wykonanej przy użyciu starej technologii może być podatna na ataki siłowe.
Jak działają ataki Brute Force?
Już wiesz, że atak typu brute force polega na powtarzaniu prób odgadnięcia hasła lub innego formularza uwierzytelnienia poprzez wypróbowanie wszystkich możliwych kombinacji znaków.
Atakujący może skorzystać z różnych narzędzi, które ułatwiają wykonywanie dużych ilości prób odgadnięcia hasła w możliwie krótkim czasie.
Istnieją dwa główne rodzaje ataku brute force:
- atak offline – atakujący zdobywa plik zawierający zaszyfrowane hasło, a następnie używa narzędzi do prób odszyfrowania hasła poprzez wypróbowanie wszystkich możliwych kombinacji,
- atak online – atakujący próbuje wprowadzić hasło bezpośrednio do systemu lub aplikacji internetowej, a następnie powtarza próby, aż do odgadnięcia właściwego hasła (lub zablokowania przez system ochrony).
Warto też pamiętać o specyficznej odmianie ataku siłowego – to odwrócony brute force. Przestępca zna hasło dostępu, ale musi odgadnąć login. Próbuje go uzyskać wpisując różne kombinacje nazw użytkowników.
Cracker może również użyć login i hasło z jednego konta do uzyskania dostępu do innych kont – użytkownicy często wykorzystują te same dane uwierzytelniające na różnych serwisach.
Kiedy ataki brute force są skuteczne? W przypadku słabych haseł lub haseł, które łatwo przewidzieć (tak, chodzi o daty urodzenia, imiona, nazwiska lub imiona czworonożnych ulubieńców).
Najlepszą ochroną jest zatem tworzenie silnych i unikalnych haseł – przede wszystkim długich, zawierających przynajmniej 13-15 znaków. Owszem, trudno je zapamiętać i dlatego warto powierzyć to zadanie menedżerom haseł.
W obronie przed atakami siłowymi pomoże też blokowanie konta po kilku nieudanych próbach logowania lub wymuszenie zmiany hasła po określonym czasie.
Bezpieczeństwo zwiększysz wykorzystując długi klucz publiczny SSH oraz dodatkowych mechanizmów uwierzytelniania, np. kluczy jednorazowych (OTP – strumieniowy szyfr symetryczny) czy autoryzacji dwuskładnikowej (2FA).
Jakie są sposoby obrony przed atakiem Brute Force?
Istnieje kilka sposobów skutecznej obrony przed atakiem z sieci internet, który chce wykraść dane dostępu:
1. Użyj silnych haseł
To podstawowa zasada skutecznej obrony przed atakiem brute force. Hasła powinny składać się z przynajmniej kilkunastu znaków (minimum 13- 15 znaków). Niegdyś rekomendowane było stosowanie różnych kombinacji liter, cyfr i symboli, jednak to długość hasła jest kluczowym elementem. Jeszcze lepiej użyć do tworzenia silnych haseł menedżerów haseł lub odpowiednich fraz, które są łatwiejsze do zapamiętania, a jednocześnie trudniejsze do złamania poprzez atak siłowy. Dobra fraza zawiera 4-5 rzadko używanych słów, np. „Rzeżuchażwawowystzeliłakopiecnadziedzińcu” (w dodatku to aż 41 znaków!). Więcej o tworzeniu haseł taka metodą dowiesz się z poradnika dot. metody Diceware. No i oczywiście używanie dat urodzenia, to bardzo słaby pomysł na silne hasło.
Z drugiej strony prostą frazę (np. „Wlazłkoteknapłotek”) może pokonać atak słownikowy polegający na wykorzystaniu słowników z najpopularniejszymi zwrotami, cytatami i powiedzonkami, najczęściej dopasowanymi do nazwy użytkownika.
Przestępcy wykorzystują też narzędzia np. do tłumaczenia słów na slang leet speak (janek wszedl na drzewo – j4n3k w523d1 n4 d223w0).
Na stronie https://www.security.org/how-secure-is-my-password/ możesz sprawdzić ile czasu zajmie crackerom odgadnięcie przykładowego hasła.
Więcej o silnych hasłach dowiesz się z poradnika: Twoje hasła w końcu bezpieczne! Poradnik bezpieczeństwa haseł komputerowych
2. Użyj mechanizmów blokowania
Blokowanie konta po kilku nieudanych próbach logowania jest dobrym sposobem ochrony przed atakami siłowymi. Można również wymusić zmianę hasła po określonym czasie, aby uniemożliwić atakującym używanie tych samych haseł przez dłuższy czas.
3. Wdrażaj dodatkowe warstwy zabezpieczeń
Dodatkowe warstwy zabezpieczeń, takie jak dwuskładnikowa autoryzacja (2FA, najlepiej przy użyciu fizycznego klucza sprzętowego), mogą pomóc w ochronie przed atakami brute force.
Dlaczego? Przy użyciu wieloetapowej autoryzacji musisz po podaniu hasła do konta wprowadzić dodatkowy kod, który otrzymasz na swoje urządzenie lub zastosować klucz sprzętowy. Cracker nawet po sforsowaniu Twojego hasła nie będzie mógł dostać się na konto, bo nie będzie miał elementu wymaganego w 2FA.
4. Ogranicz liczbę nieudanych prób logowania
Możesz ograniczyć ilość prób logowania przez użytkowników – po ich wyczerpaniu nastąpi blokada konta lub wymuszenie zmiany hasła. W ten sposób skutecznie uniemożliwisz atakującym powtarzanie prób i łatwe odgadywanie hasła.
5. Monitoruj aktywność w systemie
Kolejny dobry sposób, do użycia przede wszystkim w firmach. Mechanizmy monitorowania aktywności użytkowników mogą pomóc wykryć niepokojącą lub niepożądaną aktywność w systemie (prowadzić kontrolę logów serwera aby wykryć połączenia z nieznanych adresów IP). Dzięki temu możesz szybko zareagować na zagrożenia i podjąć odpowiednie kroki, aby zabezpieczyć system przed atakami.
6. Zaktualizuj oprogramowanie
Przestępcy wykorzystują luki w legalnym oprogramowaniu aby infekować komputery i smartfony złośliwym oprogramowaniem. Wśród tych malware są też szkodniki, które pozwalają przechwycić hasło (np. keyloggery) i pomagają dostać się do systemu operacyjnego, skrzynki pocztowej lub na różnego rodzaju konta online.
7. Zachowaj czujność
Ataki brute force to często niezbyt efektywny sposób na łamanie haseł. Autorzy książki „Cybersecurity Myths and Misconceptions” radzą spojrzeć na problem z perspektywy atakującego:
„Dlaczego mieliby wykorzystywać wszystkie swoje zasoby, aby złamać klucz, skoro istnieją znacznie prostsze ataki, które działają?”
Takim narzędziem jest phishing – prosty atak, który wymaga od przeciwnika jedynie wysłania wiadomości e-mail.
„Nie musi on korzystać z żadnych nadzwyczajnych zasobów, aby złamać kryptografię, jeśli prosty atak typu phishing zapewni mu pożądany dostęp. Alternatywnie może wykorzystać rejestrator naciśnięć klawiszy lub oprogramowanie szpiegujące, aby odczytać klucz.”
Atak Brute Force – pytania i odpowiedzi (Q&A)
Na czym polega metoda ataku brute force?
Brute force to jeden ze sposobów, których używają przestępcy na przechwycenie haseł. Wykorzystują najróżniejsze programy, które próbują odgadnąć właściwe hasło używając wszelkich możliwych kombinacji znaków.
Co to atak siłowy?
Atak siłowy to inaczej brute force – agresor używa narzędzi, które próbują różnych kombinacji znaków aby odgadnąć hasło dostępu. Aplikacja (lub atakujący) wypróbowuje każdą możliwą kombinację haseł. W ten sam sposób cracker może próbować odszyfrować zaszyfrowaną wiadomość.
Ile możliwych kombinacji należy wziąć pod uwagę przy łamaniu hasła metodą brute force?
Ilość możliwych kombinacji zależy od długości hasła czyli liczby znaków użytych w haśle. Np. hakerzy próbujący odgadnąć hasło składające się z 13 liter alfabetu łacińskiego (bez uwzględnienia wielkości liter) oraz cyfr, mają do przerobienia 218 340 105 584 896 możliwych kombinacji (czyli 218 bilionów 340 miliardów 105 milionów 584 tysięcy 896 kombinacji) – trzeba pomnożyć liczbę możliwości dla każdej zmiennej czyli 13×36 (tyle jest liter i cyfr).
Zapisz się na bezpłatny 7-dniowy kurs e-mail:
PODSTAWY BEZPIECZEŃSTWA
i dowiedz się jak zabezpieczyć komputer, telefon i konta internetowe: