การโจมตีของ Brute-Force อธิบายวิธีการเข้ารหัสทั้งหมดที่มีความเสี่ยง
การโจมตีแบบ Brute-force นั้นง่ายต่อการเข้าใจ แต่ก็ยากที่จะป้องกัน การเข้ารหัสเป็นคณิตศาสตร์และเมื่อคอมพิวเตอร์กลายเป็นคณิตศาสตร์เร็วขึ้นพวกเขาก็จะพยายามแก้ปัญหาทั้งหมดเร็วขึ้นและดูว่าสิ่งใดเหมาะสม.
การโจมตีเหล่านี้สามารถใช้กับการเข้ารหัสทุกประเภทโดยมีระดับความสำเร็จที่แตกต่างกัน การโจมตีแบบ Brute-force จะเร็วขึ้นและมีประสิทธิภาพมากขึ้นในแต่ละวันที่ผ่านมาเนื่องจากมีการเปิดตัวฮาร์ดแวร์คอมพิวเตอร์รุ่นใหม่ที่เร็วขึ้น.
ข้อมูลพื้นฐานเกี่ยวกับ Brute-Force
การโจมตีแบบ Brute-force นั้นง่ายต่อการเข้าใจ ผู้โจมตีมีไฟล์ที่เข้ารหัสเช่นฐานข้อมูลรหัสผ่าน LastPass หรือ KeePass ของคุณ พวกเขารู้ว่าไฟล์นี้มีข้อมูลที่พวกเขาต้องการดูและพวกเขารู้ว่ามีคีย์เข้ารหัสที่ปลดล็อค ในการถอดรหัสมันพวกเขาสามารถเริ่มลองรหัสผ่านที่เป็นไปได้ทุกครั้งและดูว่ามันส่งผลให้ไฟล์ที่ถอดรหัสหรือไม่.
พวกเขาทำสิ่งนี้โดยอัตโนมัติด้วยโปรแกรมคอมพิวเตอร์ดังนั้นความเร็วที่ใครบางคนสามารถเข้ารหัสลับแบบเดรัจฉานกำลังเพิ่มขึ้นเมื่อฮาร์ดแวร์คอมพิวเตอร์ที่มีอยู่กลายเป็นเร็วขึ้นและเร็วขึ้นทำให้สามารถคำนวณได้มากขึ้นต่อวินาที การโจมตีด้วยกำลังแบบเดรัจฉานมีแนวโน้มว่าจะเริ่มต้นด้วยรหัสผ่านหนึ่งหลักก่อนที่จะย้ายไปยังรหัสผ่านสองหลักเป็นต้นลองชุดค่าผสมที่เป็นไปได้ทั้งหมดจนกว่าจะได้ผล.
“ การโจมตีในพจนานุกรม” นั้นคล้ายกันและลองใช้คำในพจนานุกรม - หรือรายการรหัสผ่านทั่วไป - แทนที่จะเป็นรหัสผ่านที่เป็นไปได้ทั้งหมด สิ่งนี้อาจมีประสิทธิภาพมากเนื่องจากผู้คนจำนวนมากใช้รหัสผ่านที่อ่อนแอและทั่วไป.
เหตุใดผู้โจมตีจึงไม่สามารถใช้เว็บเซอร์วิสของ Brute-Force ได้
มีความแตกต่างระหว่างการโจมตีแบบออนไลน์และออฟไลน์ ตัวอย่างเช่นหากผู้โจมตีต้องการบังคับให้พวกเขาเข้าไปในบัญชี Gmail ของคุณพวกเขาสามารถเริ่มลองใช้รหัสผ่านที่เป็นไปได้ทุกครั้ง แต่ Google จะตัดพวกเขาออกอย่างรวดเร็ว บริการที่ให้การเข้าถึงบัญชีดังกล่าวจะพยายาม จำกัด การเข้าถึงและห้ามที่อยู่ IP ที่พยายามเข้าสู่ระบบหลายครั้ง ดังนั้นการโจมตีบริการออนไลน์จะทำงานได้ไม่ดีนักเนื่องจากมีความพยายามเพียงเล็กน้อยที่สามารถทำได้ก่อนที่การโจมตีจะหยุดลง.
ตัวอย่างเช่นหลังจากพยายามลงชื่อเข้าใช้ไม่สำเร็จ Gmail จะแสดงภาพ CATPCHA เพื่อยืนยันว่าคุณไม่ใช่คอมพิวเตอร์ที่พยายามใช้รหัสผ่านโดยอัตโนมัติ พวกเขาจะหยุดการเข้าสู่ระบบของคุณอย่างสมบูรณ์หากคุณพยายามที่จะดำเนินการต่อไปนานพอ.
ในทางกลับกันสมมติว่าผู้โจมตีโจมตีไฟล์ที่เข้ารหัสจากคอมพิวเตอร์ของคุณหรือจัดการเพื่อประนีประนอมบริการออนไลน์และดาวน์โหลดไฟล์ที่เข้ารหัสดังกล่าว ตอนนี้ผู้โจมตีมีข้อมูลที่เข้ารหัสบนฮาร์ดแวร์ของตนเองและสามารถลองใช้รหัสผ่านได้มากเท่าที่ต้องการ หากพวกเขาสามารถเข้าถึงข้อมูลที่เข้ารหัสได้จะไม่มีทางที่จะป้องกันพวกเขาจากการพยายามใช้รหัสผ่านจำนวนมากในช่วงเวลาสั้น ๆ แม้ว่าคุณจะใช้การเข้ารหัสที่แข็งแกร่ง แต่ก็เพื่อประโยชน์ของคุณในการรักษาข้อมูลของคุณให้ปลอดภัยและให้ผู้อื่นไม่สามารถเข้าถึงได้.
hashing
อัลกอริทึมคร่ำเครียดที่แข็งแกร่งสามารถชะลอการโจมตีด้วยกำลังดุร้าย เป็นหลักอัลกอริทึมการแปลงแป้นพิมพ์ทำงานทางคณิตศาสตร์เพิ่มเติมในรหัสผ่านก่อนที่จะเก็บค่าที่ได้จากรหัสผ่านบนดิสก์ หากใช้อัลกอริทึมการแฮชที่ช้ากว่านั้นจะต้องใช้งานทางคณิตศาสตร์หลายพันเท่าในการลองใช้รหัสผ่านแต่ละครั้งและชะลอการโจมตีด้วยเดรัจฉานอย่างมาก อย่างไรก็ตามยิ่งจำเป็นต้องทำงานมากเท่าไหร่เซิร์ฟเวอร์หรือคอมพิวเตอร์เครื่องอื่น ๆ ก็ต้องทำงานทุกครั้งที่ผู้ใช้ล็อกอินด้วยรหัสผ่าน ซอฟแวร์จะต้องมีความสมดุลความยืดหยุ่นต่อการโจมตีที่ดุร้ายกับการใช้ทรัพยากร.
ความเร็วของ Brute-Force
ความเร็วทั้งหมดขึ้นอยู่กับฮาร์ดแวร์ หน่วยงานข่าวกรองอาจสร้างฮาร์ดแวร์พิเศษเฉพาะสำหรับการโจมตีที่ดุร้ายเช่นเดียวกับที่นักขุด Bitcoin สร้างฮาร์ดแวร์พิเศษของตนเองที่ปรับให้เหมาะสำหรับการขุด Bitcoin เมื่อพูดถึงฮาร์ดแวร์ของผู้บริโภคฮาร์ดแวร์ที่มีประสิทธิภาพที่สุดสำหรับการโจมตีแบบเดรัจฉานคือการ์ดกราฟิก (GPU) เนื่องจากง่ายต่อการลองใช้คีย์การเข้ารหัสที่แตกต่างกันในเวลาเดียวกันการ์ดกราฟิกจำนวนมากที่ทำงานแบบขนานจึงเหมาะอย่างยิ่ง.
ในตอนท้ายของปี 2012 Ars Technica รายงานว่าคลัสเตอร์ 25-GPU สามารถถอดรหัสรหัสผ่าน Windows ทุกอันที่มีความยาว 8 ตัวอักษรในเวลาน้อยกว่าหกชั่วโมง อัลกอริทึม NTLM ที่ Microsoft ใช้นั้นไม่ยืดหยุ่นเพียงพอ อย่างไรก็ตามเมื่อสร้าง NTLM มันจะใช้เวลานานกว่านั้นในการลองใช้รหัสผ่านเหล่านี้ทั้งหมด นี่ถือว่าไม่เพียงพอสำหรับภัยคุกคามที่ Microsoft จะทำให้การเข้ารหัสแข็งแกร่งขึ้น.
ความเร็วเพิ่มขึ้นและในอีกไม่กี่ทศวรรษเราอาจค้นพบว่าแม้แต่อัลกอริธึมการเข้ารหัสที่แข็งแกร่งที่สุดและกุญแจการเข้ารหัสที่เราใช้ทุกวันนี้สามารถถอดรหัสได้อย่างรวดเร็วด้วยคอมพิวเตอร์ควอนตัมหรือฮาร์ดแวร์อื่น ๆ ที่เราใช้ในอนาคต.
ปกป้องข้อมูลของคุณจากการโจมตีแบบ Brute-Force
ไม่มีทางที่จะป้องกันตัวเองได้อย่างสมบูรณ์ เป็นไปไม่ได้ที่จะบอกว่าฮาร์ดแวร์ของคอมพิวเตอร์จะเร็วแค่ไหนและอัลกอริธึมการเข้ารหัสใด ๆ ที่เราใช้ในปัจจุบันมีจุดอ่อนที่จะถูกค้นพบและใช้ประโยชน์ในอนาคต อย่างไรก็ตามนี่คือพื้นฐาน:
- รักษาข้อมูลที่เข้ารหัสของคุณให้ปลอดภัยซึ่งผู้โจมตีไม่สามารถเข้าถึงได้ เมื่อพวกเขามีการคัดลอกข้อมูลของคุณไปยังฮาร์ดแวร์พวกเขาสามารถลองโจมตีด้วยกำลังดุร้ายในยามว่างได้.
- หากคุณเรียกใช้บริการใด ๆ ที่ยอมรับการลงชื่อเข้าใช้ผ่านอินเทอร์เน็ตตรวจสอบให้แน่ใจว่าได้ จำกัด การพยายามเข้าสู่ระบบและบล็อกผู้ที่พยายามเข้าสู่ระบบด้วยรหัสผ่านที่แตกต่างกันจำนวนมากในช่วงเวลาสั้น ๆ โดยทั่วไปซอฟต์แวร์เซิร์ฟเวอร์จะถูกตั้งค่าให้ทำเช่นนี้เนื่องจากเป็นแนวทางปฏิบัติด้านความปลอดภัยที่ดี.
- ใช้อัลกอริทึมการเข้ารหัสที่รัดกุมเช่น SHA-512 ตรวจสอบให้แน่ใจว่าคุณไม่ได้ใช้อัลกอริธึมการเข้ารหัสเก่าที่มีจุดอ่อนที่รู้จักซึ่งง่ายต่อการถอดรหัส.
- ใช้รหัสผ่านที่ยาวและปลอดภัย เทคโนโลยีการเข้ารหัสทั้งหมดในโลกจะไม่ช่วยถ้าคุณใช้ "รหัสผ่าน" หรือ "hunter2" ที่เป็นที่นิยม.
การโจมตีแบบ Brute-force เป็นสิ่งที่ต้องคำนึงถึงเมื่อปกป้องข้อมูลของคุณเลือกอัลกอริทึมการเข้ารหัสและเลือกรหัสผ่าน พวกเขายังเป็นเหตุผลในการพัฒนาอัลกอริธึมการเข้ารหัสที่แข็งแกร่งขึ้นเรื่อย ๆ - การเข้ารหัสต้องสอดคล้องกับความรวดเร็วในการแสดงผลของฮาร์ดแวร์ใหม่ที่ไม่มีประสิทธิภาพ.
เครดิตรูป: Johan Larsson บน Flickr, Jeremy Gosney