Svet brutálnej sily počítačovej kriminality je aktivita, ktorá zahŕňa opakované sekvenčné pokusy vyskúšať rôzne kombinácie hesiel, aby prenikli na akékoľvek stránky alebo odblokovali zariadenie. Tento pokus vykonávajú hackeri, ktorí používajú roboty, ktoré zlomyseľne inštalujú na iné počítače, aby zvýšili výpočtový výkon potrebný na spustenie týchto typov útokov.
Takže čo je brutálny útok?
Brutfors je najjednoduchší spôsob prístupu k webu, zariadeniu alebo serveru (alebo akémukoľvek inému chránenému heslom). Skúša rôzne kombinácie používateľských mien a hesiel znova a znova, kým nevznikne vstup. Toto je opakujúci sa čin ako armáda útočiaca na pevnosť.
Pre niektorých, takýto popis brutálneho útoku dáva dôvod domnievať sa, že to môže niekto urobiť. Toto sú naozaj jednoduché akcie, ale úspech vždy nepríde. Zvyčajne má každý spoločný identifikátor (napríklad admin) heslo. Jediné, čo musíte urobiť, je pokúsiť sa hádať. Napríklad, ak ide o dvojmiestnu kombináciu, máte 10 číslic od 0 do 9. To znamená, že existuje 100 možností. Môžete si ich vybrať ručne, aby ste sa zadali jeden po druhom. Ale pravdou je, že žiadne heslo na svete sa skladá z dvoch znakov. Dokonca aj kontaktné čísla používané na mobilných telefónoch alebo v banke majú aspoň 4 znaky. Na internete majú rovnaké 8 znakov zvyčajne štandard pre najkratšie heslo. Okrem toho je dodatočná zložitosť v hesleAbecedné znaky sú zahrnuté, aby boli bezpečnejšie. Písmená môžu byť použité v hornom aj malom písme, čo spôsobuje, že kód je citlivý na jeho prepínanie.
Takže ak je alfanumerické 8-znakové heslo, koľko možných kombinácií bude musieť vybrať? V angličtine je 26 písmen abecedy. Ak ich spočítate v hornom a malom písmenom, dostanete 26 + 26 = 52. Potom musíte pridať čísla: 52 + 10 = 62. Takže je len 62 znakov. Pri 8-znakovom hesle bude 628, ktoré budú robiť 21834011 x 1014 možných kombinácií. Ak sa pokúsite použiť 218 biliónov kombinácií v jednej skúške za sekundu, bude to trvať 218 biliónov sekúnd alebo 36 biliónov minút. Jednoducho povedané, trvá asi 7 miliónov rokov, kým heslo prerušíte s konečnou kombináciou. Samozrejme, proces môže trvať menej, ale je maximálny čas na získanie tejto hodnoty. Je jasné, že ručné brutfory nie sú možné.
Ako sa to môže stať?
Ak máte záujem o porušenie hesiel, budete musieť používať počítače. K tomu musíte napísať niekoľko jednoduchých riadkov kódu. Takéto programovacie zručnosti sú základom každého enkodéra. Predpokladajme, že ste vyvinuli program na odomknutie hesla, ktoré testuje 1000 kombinácií za sekundu. Čas sa skracuje na 7 tisíc rokov. Je to stále nemožné, takže potrebujete superpočítač. Ak zariadenie dokáže vyskúšať 1 x 109 pokusov za sekundu, potom za 22 sekúnd bude testovaných všetkých 218 biliónov pokusov. Výpočtové zdroje tohto druhu nie sú k dispozíciiobyčajných ľudí Hackeri však nie sú obyčajní používatelia. Môžu zbierať výpočtových zdrojov rôznymi spôsobmi, napríklad prostredníctvom rozvoja výkonné výpočtové mechanizmus, pomocou softvéru, ako je.
Okrem vyššie uvedeného výpočtu je pre všetky možné kombinácie 8 znakov hesla. Ale čo keď jej dĺžka je 10 alebo 100 znakov? To je dôvod, prečo je dôležité mať vyššiu úroveň zabezpečenia pre detekciu a odmietnuť pokus o vniknutie.
Prečo to robia?
Ak je hrubou silou hacker motívom je získať nezákonný prístup do cieľovej webovej stránky a použiť ju vykonávať iný typ útoku alebo krádeže cenných dát. Je tiež možné, že útočník infikuje zdrojové škodlivé scenára dlhodobé ciele, a to aj bez dotyku akýmkoľvek spôsobom a bez stopy. Tak často odporúča kontrolovať a riadiť sa odporúčaniami pre ochranu webu.
Čo robiť?
Existuje mnoho nástrojov na ochranu rôznych aplikácií, ktoré budú popierajú užívateľom možnosť zaútočiť po určitom počte pokusov. Napríklad, môžete použiť SSH hosts fail2ban alebo Deny. Tieto programy budú odmietať IP adresu po niekoľkých neúspešných pokusoch. Tieto nástroje robia dobrú prácu. Avšak nemôžu vždy chrániť.
Tam bol exponenciálny rast Brutus útoky. Pochádzajú z celého sveta, každý deň stále sofistikovanejšie. Preto by všetci užívatelia mali mať na pozore.Tak, ako sa chrániť pred brutfors?
Dĺžka hesla
Prvým krokom k zabráneniu útoku by mal byť dĺžka hesla. V súčasnosti mnohé webové stránky a platformy prinútia svojich používateľov, aby vytvorili prístupový kód s určitou dĺžkou (8-16 znakov).
Zložitosť hesiel
Ďalšou dôležitou vecou je vytvoriť zložité heslo. Neodporúča sa ich myslieť ako iloveyou alebo heslo123456. Heslo musí obsahovať veľké a malé písmená, rovnako ako čísla a špeciálne znaky. Obtiažnosť zdržiava proces hackovania.
Hraničné pokusy o prihlásenie
Jednoduchá, ale veľmi silná akcia je obmedziť pokusy o prihlásenie, keď ide o stránky alebo server. Ak napríklad lokalita dostane päť neúspešných pokusov o prihlásenie, mala by zablokovať IP na určité časové obdobie, aby zastavila ďalšie pokusy.
Zmena súboru .htaccess
Pridanie viacerých pravidiel do súboru .htaccess môže ďalej zvýšiť bezpečnosť vášho webu. Cieľom je umožniť prístup k administrátorovi wp-admin iba na určité IP adresy, ktoré sú v ňom obsiahnuté.
Používanie Captcha
Captcha je teraz široko používaná na mnohých miestach. Nepovoľuje robotom robiť automatizované skripty, ktoré sa používajú predovšetkým pri útoku Brute Force. Inštalácia captcha na stránky alebo blog je dosť jednoduchá. Nainštalujte doplnok Google invisible reCaptcha a prejdite na svoj účet Google. Teraz sa vráťte späť na stránku nastavení pluginov a definujte miesta, kde by ste chceli, aby používateľ prvýkrát zadal captcha pred vykonaním aktuálnej úlohy.
Dvojfaktorová autentifikácia
Overenie dvoch faktorov je dodatočná ochranná línia, ktorá dokáže chrániť účty hrubej sily. Šance na úspešný útok na chránené stránky 2FA sú veľmi malé. Existujú rôzne spôsoby, ako ich realizovať na stránkach. Najjednoduchším spôsobom je použiť akýkoľvek doplnok pre dvojfaktorové overovanie.
Ak nehovoríte o svojich vlastných webových stránkach, ale o iných zdrojoch (napríklad zabránenie routeru smerovača), môžu byť tieto metódy nasledovné:
Vytvorte jedinečné heslo pre každý účet.
Vykonajte časté zmeny hesla.
Vyhnite sa zdieľaniu poverení pomocou nechránených kanálov.
Presmerovanie
Reakcia hrubej sily je ďalším výrazom spojeným s prasknutím hesla. V tomto prípade sa útočník pokúsi použiť jedno heslo pre niekoľko užívateľských mien. V takomto prípade hacker pozná heslo, ale názvy používateľov netuší. V tomto prípade môže skúsiť rovnaké heslo a pokúsiť sa hádať rôzne prihlasovacie údaje, kým nájde pracovnú kombináciu. To je zvyčajne prípad kefky Wi-Fi a iných pripojení. Tento útok sa bežne používa na rozbitie hesiel. Hackeri môžu použiť brutfors na akomkoľvek softvérovom serveri alebo protokole, ktorý neblokuje požiadavky po niekoľkých neplatných testoch. K dispozícii je množstvo nástrojov na hackovanie hesiel pre rôzne protokoly. Niektoré z nich by sa mali zvážiť podrobnejšie. Ak chcete používať takéto programy, stačí načítať a spustiťna útok Keďže niektoré z nich používajú súčasne niekoľko mechanizmov, mali by sa podrobne študovať. Pomôže to chrániť pred útokmi a tiež zistiť, či sú všetky vaše systémy zraniteľné.
Aircrack-ng
Jedná sa o obľúbenú bezdrôtovú ochranu heslom, ktorá je k dispozícii zdarma. Dodáva sa s nástrojmi na analýzu a cracker WEP /WPA /WPA2-PSK na útok na WI-Fi 80211. Aircrack NG môže byť použitý pre akýkoľvek sieťový adaptér, ktorý podporuje nespracované monitorovanie.
V podstate vykonáva útoky slovnej zásoby proti bezdrôtovej sieti, aby odhadol heslo. Ako viete, úspech podmieneného útoku závisí od zložitosti hesiel. Čím lepšia a účinnejšia je kombinácia, tým menej je pravdepodobné, že dôjde k zlu. Aplikácia je k dispozícii pre brutefors Windows a Linux. Navyše bol migrovaný na platformy iOS a Android.
John Ripper
Toto je ďalší úžasný nástroj, ktorý nevyžaduje žiadne inštrukcie. Často sa používa pri heslách s dlhou silou. Tento slobodný softvér bol pôvodne vyvinutý pre systémy Unix. Neskôr ho autori uvoľnili pre iné platformy. Program teraz podporuje 15 rôznych systémov, vrátane Unixu, Windows, DOS, BeOS a OpenVMS. Môže sa použiť na identifikáciu zraniteľných miest, na crackovanie hesiel a porušenie pravosti. Tento nástroj je veľmi populárny a kombinuje rôzne funkcie. Môže automaticky určiť typ hashovania použitého v hesle. Preto môže byť kód spustený v šifrovanom úložisku hesiel. V podstate program brutálnej silymôže vykonať hrubý útok so všetkými možnými heslami, kombinujúci text a čísla. Môže sa však použiť aj so slovníkovým slovníkom.
Rainbow Crack
Toto je tiež obľúbený nástroj na zapnutie hesla. Vytvára tabuľky na použitie počas útoku. Takže kód sa líši od iných tradičných donucovacích nástrojov. Tabuľky Rainbow sú predbežne vypočítané. To pomáha skrátiť čas útoku. No, existujú rôzne organizácie, ktoré už publikovali tabuľky pred konkurenciou pre všetkých používateľov internetu. Tento nástroj je stále v aktívnom vývoji. Je k dispozícii pre systémy Windows aj Linux a podporuje všetky najnovšie verzie týchto platforiem.
L0phtCrack
Program je známy svojou schopnosťou crack Windows hesla. Používa slovníky, hrubú silu, hybridné útoky a dúhové stoly. Najdôležitejšie funkcie programu l0phtcrack sú plánovanie, extrakcia hesiel zo 64-bitových verzií systému Windows, multiprocesorové algoritmy a monitorovanie a dekódovanie siete.
Ophcrack
Ďalší nástroj generovania hrubej sily, ktorý sa používa na rozbitie hesiel systému Windows. Rozbije heslo pomocou LM hash cez tabuľky. Jedná sa o bezplatný open source softvér. Vo väčšine prípadov môže za niekoľko minút skartovať heslo systému Windows.
Crack
Jedná sa o jeden z najstarších nástrojov na praskanie hesiel. Môže byť použitý pre systémy UNIX, vrátane Android Brutforces. Používa sa na kontrolu slabých hesiel vykonaním útoku pomocou slovníkov.
Hashcat
Niektorí tvrdia, že ide o najrýchlejší nástroj na rozbitie hesiel založených na procesore založených na heslách. Je zadarmo a je dodávaný s platformami Linux, Windows a Mac OS. Hashcat podporuje rôzne hashové algoritmy, vrátane sumy LM, MD4 MD5 SHA-Unix-vault formáty, MySQL, Cisco PIX. Program podporuje rôzne útoky vrátane Brute-Force, Combinator, slovníky, útok odtlačkov prstov a mnoho ďalších.
