Útoky hrubou silou jsou poměrně jednoduchépochopit, ale je těžké ho chránit. Šifrování je matematika, a jak se počítače v matematice zrychlují, zrychlují se při zkoušení všech řešení a při pohledu na to, které z nich se hodí.
Tyto útoky lze použít proti jakémukoli typušifrování s různou mírou úspěchu. Útoky hrubou silou se stávají rychlejší a efektivnější s každým dalším dnem, kdy se uvolňuje novější a rychlejší počítačový hardware.
Základy brutální síly
Útoky hrubou silou jsou snadno pochopitelné. Útočník má zašifrovaný soubor - řekněme vaši databázi hesel LastPass nebo KeePass. Vědí, že tento soubor obsahuje data, která chtějí vidět, a vědí, že existuje šifrovací klíč, který jej odemkne. Aby ji mohli dešifrovat, mohou začít zkoušet každé možné heslo a zjistit, zda to povede k dešifrovanému souboru.
Dělají to automaticky pomocí počítačeprogram, takže rychlost, s jakou může někdo hrubou silou šifrování, roste s tím, jak je dostupný počítačový hardware rychlejší a rychlejší, schopný provádět více výpočtů za sekundu. Útok s hrubou silou by pravděpodobně začal u jednociferných hesel, než se přesunou do dvouciferných hesel atd., Přičemž se pokusí všechny možné kombinace, dokud nebude fungovat.
„Slovníkový útok“ je podobný a zkouší slovave slovníku - nebo v seznamu běžných hesel - namísto všech možných hesel. To může být velmi efektivní, protože mnoho lidí používá taková slabá a běžná hesla.
Proč útočníci nemohou brutálně vynutit webové služby
Existuje rozdíl mezi online a offlineútoky hrubou silou. Pokud se například útočník chce přenést do vašeho účtu Gmail násilím, může si vyzkoušet každé možné heslo - Google je však rychle odřízne. Služby, které poskytují přístup k těmto účtům, omezí pokusy o přístup a zakážou adresy IP, které se tolikrát pokusí přihlásit. Útok proti online službě by tedy nefungoval příliš dobře, protože před zastavením útoku lze provést jen velmi málo pokusů.
Například po několika neúspěšných pokusech o přihlášeníGmail vám ukáže obrázek CATPCHA, abyste ověřili, že počítač automaticky nevyzkouší hesla. Pokud se vám podaří pokračovat dostatečně dlouho, pravděpodobně vaše pokusy o přihlášení zcela zastaví.
Na druhou stranu, řekněme, že útočník zaseklšifrovaný soubor z vašeho počítače nebo se podařilo ohrozit online službu a stáhnout takové šifrované soubory. Útočník má nyní šifrovaná data na svém vlastním hardwaru a může si ve svém volném čase vyzkoušet tolik hesel, kolik chce. Pokud mají přístup k šifrovaným datům, neexistuje způsob, jak jim zabránit v vyzkoušení velkého počtu hesel v krátkém časovém období. I když používáte silné šifrování, je vaše výhoda, aby vaše data byla v bezpečí a zajistila, aby k nim ostatní neměli přístup.
Hashing
Silné hashovací algoritmy mohou zpomalitútoky hrubou silou. Algoritmy hashování v podstatě provádějí další matematickou práci na hesle před uložením hodnoty odvozené od hesla na disk. Pokud je použit pomalejší hashovací algoritmus, bude vyžadovat tisícekrát tolik matematické práce, aby se pokusilo každé heslo a dramaticky zpomalit útoky brutální síly. Čím více práce je však nutné, tím více práce server nebo jiný počítač musí provést pokaždé, když se uživatel přihlásí pomocí svého hesla. Software musí vyvážit odolnost proti útokům brutální síly s využitím zdrojů.
Brute-Force Speed
Rychlost vše závisí na hardwaru. Zpravodajské agentury mohou stavět specializovaný hardware právě pro útoky hrubou silou, stejně jako horníci bitcoinů vytvářejí svůj vlastní specializovaný hardware optimalizovaný pro těžbu bitcoinů. Pokud jde o spotřební hardware, nejúčinnějším typem hardwaru pro útoky hrubou silou je grafická karta (GPU). Vzhledem k tomu, že je snadné vyzkoušet mnoho různých šifrovacích klíčů najednou, je ideální mnoho paralelních grafických karet.
Na konci roku 2012 společnost Ars Technica uvedla, žeKlastr 25-GPU by mohl rozbít každé heslo Windows pod 8 znaků za méně než šest hodin. Algoritmus NTLM, který Microsoft používal, nebyl dostatečně odolný. Po vytvoření NTLM by však vyzkoušení všech těchto hesel trvalo mnohem déle. To Microsoft nepovažoval za dost hrozbu pro posílení šifrování.
Rychlost roste a za pár desetiletí můžemezjistěte, že i ty nejsilnější kryptografické algoritmy a šifrovací klíče, které dnes používáme, mohou rychle prasknout kvantové počítače nebo jakýkoli jiný hardware, který v budoucnu používáme.
Ochrana vašich dat před útoky brutální síly
Neexistuje způsob, jak se úplně chránit. Je nemožné říci, jak rychle se počítačový hardware dostane a zda některý z šifrovacích algoritmů, který dnes používáme, má slabiny, které budou objeveny a využity v budoucnu. Zde jsou však základy:
- Uchovávejte šifrovaná data v bezpečí tam, kde k nim útočníci nemohou získat přístup. Jakmile budou vaše data zkopírována do jejich hardwaru, mohou ve svém volném čase vyzkoušet útoky proti nim hrubou silou.
- Pokud provozujete jakoukoli službu, která přijímá přihlášeníinternetu, zajistěte, aby to omezilo pokusy o přihlášení a zablokoval lidi, kteří se pokusí přihlásit s mnoha různými hesly v krátkém časovém období. Serverový software je zpravidla nastaven tak, aby to bylo vyřazeno z krabice, protože se jedná o dobrý bezpečnostní postup.
- Používejte silné šifrovací algoritmy, například SHA-512. Ujistěte se, že nepoužíváte staré šifrovací algoritmy se známými slabými stránkami, které lze snadno rozbít.
- Používejte dlouhá a bezpečná hesla. Všechny šifrovací technologie na světě nepomohou, pokud používáte „heslo“ nebo stále populárnější „hunter2“.
Útoky hrubou silou jsou něčím, čeho se musíme zabývato ochraně vašich dat, výběru šifrovacích algoritmů a výběru hesel. Jsou také důvodem k neustálému vývoji silnějších kryptografických algoritmů - šifrování musí držet krok s tím, jak rychle je novým hardwarem neúčinný.
Image Credit: Johan Larsson na Flickru, Jeremy Gosney
