Головна » як » Намагання грубої сили пояснюється, як все шифрування є вразливим

    Намагання грубої сили пояснюється, як все шифрування є вразливим

    Атаки грубої сили досить зрозумілі, але їх важко захистити. Шифрування - це математика, і, як комп'ютери стають швидшими в математиці, вони стають швидшими при спробі всіх рішень і бачачи, який з них підходить.

    Ці атаки можна використовувати проти будь-якого типу шифрування з різним ступенем успіху. Швидкі атаки стають швидшими і ефективнішими з кожним днем, коли випускається нове, більш швидке комп'ютерне обладнання.

    Основи грубої сили

    Атаки грубої сили зрозумілі. Зловмисник має зашифрований файл - скажімо, вашу базу паролів LastPass або KeePass. Вони знають, що цей файл містить дані, які вони хочуть бачити, і вони знають, що є ключ шифрування, який розблокує його. Щоб розшифрувати, вони можуть почати спробувати кожен можливий пароль і перевірити, чи це призводить до розшифрування файлу.

    Вони роблять це автоматично за допомогою комп'ютерної програми, так що швидкість, з якою хтось може перебирати шифрування, збільшується, оскільки доступне комп'ютерне обладнання стає швидшим і швидшим, здатним робити більше обчислень в секунду. Штурмова атака, швидше за все, почнеться з однозначних паролів, перш ніж перейти до двозначних паролів і так далі, пробуючи всі можливі комбінації, поки не буде створено один.

    «Атака словника» подібна і спробує слова в словнику - або список загальних паролів - замість всіх можливих паролів. Це може бути дуже ефективним, оскільки багато людей користуються такими слабкими і загальними паролями.

    Чому зловмисники не можуть застосувати веб-служби

    Існує різниця між онлайновими та офлайновими атаками. Наприклад, якщо зловмисник хоче перебратися в ваш обліковий запис Gmail, вони можуть почати намагатися кожен можливий пароль, але Google швидко їх відключить. Послуги, які надають доступ до таких облікових записів, дозволять спростити доступ і заборонити IP-адреси, які намагаються ввійти в систему так багато разів. Таким чином, атака на онлайнову службу не працювала б надто добре, тому що дуже мало спроб може бути зроблено до того, як атака буде припинена.

    Наприклад, після кількох невдалих спроб входу в систему Gmail покаже вам зображення CATPCHA, щоб перевірити, чи не комп'ютер автоматично пробує паролі. Вони, ймовірно, повністю припинять ваші спроби входу, якщо вам вдалося продовжити роботу досить довго.

    З іншого боку, припустимо, що зловмисник зачепив зашифрований файл з вашого комп'ютера або спромігся скомпрометувати онлайнову службу та завантажити такі зашифровані файли. Зловмисник тепер має зашифровані дані на своєму апаратному забезпеченні і може спробувати якомога більше паролів, як вони захочуть на свій час. Якщо вони мають доступ до зашифрованих даних, не існує способу запобігти їх спробам великої кількості паролів за короткий проміжок часу. Навіть якщо ви використовуєте сильне шифрування, вам корисно зберегти ваші дані в безпеці та забезпечити іншим доступ до них.

    Хешування

    Сильні алгоритми хешування можуть уповільнювати атаки на грубу силу. По суті, алгоритми хешування виконують додаткову математичну роботу над паролем, перш ніж зберігати значення, отримане з пароля на диску. Якщо використовується більш повільний алгоритм хешування, то потрібно тисячі разів більше математичної роботи, щоб спробувати кожен пароль і різко уповільнити атаки з грубою силою. Однак, чим більше необхідної роботи, тим більше роботи, яку повинен робити сервер або інший комп'ютер кожного разу, коли користувач входить до системи з паролем. Програмне забезпечення повинне збалансувати стійкість проти грубої атаки з використанням ресурсів.

    Швидкість швидкості

    Швидкість все залежить від апаратного забезпечення. Служби розвідки можуть створювати спеціалізовані апаратні засоби тільки для нападу з грубою силою, так само, як шахтарі Bitcoin будують власні спеціалізовані апаратні засоби, оптимізовані для видобутку Bitcoin. Коли йдеться про споживче обладнання, найефективнішим типом апаратних засобів для грубої атаки є відеокарта (GPU). Оскільки легко спробувати багато різних ключів шифрування, багато відеокарт, які працюють паралельно, є ідеальними.

    Наприкінці 2012 року Ars Technica повідомив, що кластер з 25 ГПУ може зламати всі паролі Windows під 8 символами менш ніж за шість годин. Алгоритм NTLM, який використовував Microsoft, не був достатньо стійким. Однак, коли було створено NTLM, потрібно було б набагато більше часу, щоб спробувати всі ці паролі. Це не вважалося достатньою загрозою для Microsoft, щоб зробити шифрування сильнішим.

    Швидкість збільшується, і через кілька десятиліть ми можемо виявити, що навіть найсильніші криптографічні алгоритми та ключі шифрування, які ми використовуємо сьогодні, можуть бути швидко зламані квантовими комп'ютерами або будь-яким іншим обладнанням, яке ми використовуємо в майбутньому..

    Захист даних від атаки по грубій силі

    Неможливо повністю захистити себе. Неможливо сказати, наскільки швидко отримає апаратне забезпечення комп'ютера, і чи є в алгоритмах шифрування, які ми використовуємо сьогодні, слабкі місця, які будуть виявлені і використані в майбутньому. Проте, ось основи:

    • Зберігайте зашифровані дані в безпеці, коли зловмисники не зможуть отримати доступ до нього. Після того, як ваші дані будуть скопійовані на їх апаратне забезпечення, вони можуть спробувати скористатися грубою атакою на своє дозвілля.
    • Якщо ви запускаєте будь-яку послугу, яка приймає реєстраційні дані через Інтернет, переконайтеся, що вона обмежує спроби входу та блокує людей, які намагаються увійти з багатьма паролями за короткий проміжок часу. Серверне програмне забезпечення, як правило, налаштовано робити це з коробки, оскільки це хороша практика безпеки.
    • Використовуйте сильні алгоритми шифрування, такі як SHA-512. Переконайтеся, що ви не використовуєте старі алгоритми шифрування з відомими слабкостями, які легко зламати.
    • Використовуйте довгі, безпечні паролі. Вся технологія шифрування в світі не допоможе, якщо ви використовуєте "пароль" або все популярний "hunter2".

    Швидкі атаки - це щось, що потрібно турбувати, коли ви захищаєте ваші дані, вибираєте алгоритми шифрування та вибираєте паролі. Вони також є причиною продовжувати розробляти більш сильні криптографічні алгоритми - шифрування повинно йти в ногу з тим, наскільки швидко це стає неефективним через нове обладнання.

    Зображення: Йохан Ларссон на Flickr, Джеремі Госні