Атаки грубой силы: когда пароли подаются на блюдечке с голубой каемочкой

Несмотря на то, что компания Apple никогда не подтверждала этого официально, можно предположить, что причиной всего переполоха в гигантской корпорации в 2014 году стала простая брешь в системе безопасности ее онлайн-сервиса хранения данных iCloud. Предполагается, что не хватало защиты от грубой силы, что привело к краже частных фотографий различных знаменитостей. После атаки были быстро приняты меры защиты. Действующий механизм защиты означает, что у пользователей есть максимум десять попыток ввести свой пароль, прежде чем вход в систему будет отключен, а владелец аккаунта получит уведомление. До хакерского скандала не существовало ограничений на количество попыток ввода пароля, поэтому хорошо спланированная атака методом перебора была лишь вопросом времени.

Что такое грубая сила?

Грубая сила — это метод решения проблем в области информатики, криптологии и теории игр. Метод грубой силы получил свое название благодаря тому, что он основан на переборе как можно большего количества решений, поэтому поиск является исчерпывающим. Он используется, когда нет более эффективных алгоритмов. Хакеры, использующие эти методы, особенно стремятся взломать пароли и получить доступ к личным данным. Для этого они используют программное обеспечение с простым алгоритмом, который быстро перебирает множество различных вариантов, состоящих из символов, пробелов и букв до максимально определенной длины.

Чем короче пароль, тем быстрее он будет взломан методом перебора. Поэтому обычно рекомендуются более длинные пароли, состоящие из различных символов, а также рекомендуется использовать системы шифрования. Поскольку количество вычислительных мощностей, необходимых для проведения таких атак методом перебора, становится все более доступным, это означает, что большее количество проверок может быть выполнено за более короткий период времени, что делает комплексную защиту от атак методом перебора чрезвычайно важной.

Почему следует серьезно относиться к атакам грубой силы

Учитывая примитивность метода, кажется очевидным, что необходимо принять соответствующие меры защиты, но это не обязательно так. Каждый компьютер, подключенный к Интернету, потенциально подвержен риску. Как только хакер проникнет в систему (а это происходит быстрее, чем вы ожидаете), ваши пароли окажутся недоступными. Большинство операционных систем имеют файлы или базы данных, в которых хранятся идентификаторы пользователей и пароли. В системах Windows пароли пользователей находятся, например, в файлах .sam, а в юниксоидных системах — в файле .passwd или .shadow.

Пароли в этих файлах не хранятся открытым текстом, они зашифрованы с помощью криптографических алгоритмов. Несмотря на это, злоумышленник все равно может получить доступ к файлам, если они недостаточно защищены от несанкционированного доступа. Хакер может создать копию файла, а затем провести обширные атаки методом перебора, не поддерживая при этом соединение с системой. В принципе, сейчас существует всего три переменные, которые определяют, сколько времени потребуется до успешного завершения атаки:

  • Продолжительность одного шага проверки
  • длина пароля
  • Сложность пароля

Продолжительность одного шага проверки, т.е. перебора возможных паролей, зависит от вычислительной мощности, доступной атакующему. Чем больше мощность, тем быстрее может быть выполнена попытка, а затем начата следующая. Длина и сложность логически увеличивают количество возможных комбинаций, которые могут быть использованы для создания пароля, и, следовательно, количество возможностей, которые должны быть проверены в ходе атаки методом перебора. Таким образом, длина и сложность влияют на скорость взлома:

Набор символов 26 символов 72 символа
Тип символов Нижний регистр Нижний и верхний регистр, специальные символы, цифры
Максимальная длина пароля 8 символов 8 символов
Возможные комбинации Приблизительно 209 миллиардов Приблизительно 722 триллиона
Мощность обработки Приблизительно 100 миллионов хэш-значений в секунду Приблизительно 100 миллионов хэш-значений в секунду
Продолжительность проверки методом перебора Приблизительно 35 минут Приблизительно 83 дня

Из таблицы видно, что современному ПК требуется всего 35 минут, чтобы проверить все возможные комбинации символов простого пароля, набор символов которого составляет всего 26 знаков. Если расширить комбинацию до 72 символов, то при той же вычислительной мощности на перебор потребуется около 83 дней. Однако это не повод для самоуспокоения: пробуя списки комбинаций символов (словарная атака) или используя радужные таблицы (список смежных комбинаций паролей), злоумышленники могут сократить время, необходимое для проведения атаки методом перебора.

Защита от атак методом перебора — как прикрыть спину

Неважно, была ли атака грубой силы направлена на центральный файл паролей в системе, или, в случае с iCloud, злоумышленник получил идентификаторы Apple ID многих пользователей, эти события доказывают, насколько важно защитить себя от этого навязчивого метода дешифровки. Когда речь идет о личных системных паролях, вы можете взять дело в свои руки. Используйте комбинации, состоящие из разных типов символов. В лучшем случае используйте в паролях строчные и прописные буквы, специальные символы и цифры. Чем больше символов содержит пароль, тем сложнее его взломать.

Ситуация становится немного сложнее при создании паролей для онлайн-сервисов и тому подобного. Здесь вы обязаны соблюдать требования соответствующего провайдера. Как правило, максимальная длина паролей составляет не более восьми символов, и часто они ограничиваются буквами и цифрами, что не внушает доверия. В таком случае вам следует выяснить, какие меры предосторожности предпринимают операторы веб-сайтов для защиты от атак методом перебора. Если вы являетесь оператором веб-сервиса с механизмом входа в систему, это ваша обязанность. Существует два возможных подхода:

  • Защитить механизм паролей
  • Установить многофакторную аутентификацию

Защита механизма паролей должна быть стандартной для любого входа в систему, но, как показал скандал с iCloud, это не всегда так. Смысл механизма защиты заключается в том, чтобы усложнить работу программ для перебора. Это означает, что после того, как пароль был неправильно введен определенное количество раз, больше попыток не может быть предпринято, и функция входа отключается. Кроме того, можно увеличить время после каждой последующей попытки ввода пароля. Вы также можете пойти дальше — как это наконец-то сделала компания Apple — и блокировать всю учетную запись пользователя после определенного количества попыток входа.

Многие провайдеры предлагают многофакторную аутентификацию в качестве опции. Она несколько усложняет процесс входа в систему, поскольку помимо пароля требуется еще один компонент. Это может быть ответ на секретный вопрос, ввод PIN-кода или ответ на капчу. Последние представляют собой небольшие тесты, позволяющие определить, выполняет ли процесс входа в систему реальный человек или — как в случае с программами для перебора — робот.

Защита от атак грубой силы

В дополнение к представленным мерам существует несколько приемов для предотвращения атак грубой силы. Хакерские программы обычно работают с различными шаблонами распознавания, поэтому все усложняется, если стандартные сообщения об ошибках не отправляются обратно в браузер напрямую, а передаются во внешнюю систему, например, на другой веб-сайт. Использование альтернативных имен для полей ввода или текста, которые затем восстанавливаются после попытки входа в систему, также может вызвать проблемы для некоторых хакерских инструментов. В любом случае, вы повысите безопасность своего веб-проекта или паролей, если будете использовать одну или несколько из упомянутых мер защиты от перебора.

Для некоторых платформ или приложений также существуют специальные расширения или инструменты против атак методом перебора. Дополнение Jetpack, предназначенное для облегчения управления сайтами WordPress, имеет встроенный модуль для предотвращения опасных атак на основе черного списка IP-адресов. В этом списке собраны IP-адреса, которые были связаны со всеми известными атаками грубой силы на страницы WordPress до этого момента.

Оцените статью
cdelat.ru
Добавить комментарий