Эти атаки могут использоваться против любого типа шифрования с разной степенью успеха. Атаки с применением грубой силы становятся все более быстрыми и эффективными с каждым днем, когда выпускается более новое, более быстрое компьютерное оборудование.
Основы грубой силы
Атаки грубой силы просты для понимания. У злоумышленника есть зашифрованный файл - скажем, ваша база данных LastPass или KeePass. Они знают, что этот файл содержит данные, которые они хотят видеть, и они знают, что есть ключ шифрования, который открывает его. Чтобы расшифровать его, они могут начать использовать каждый возможный пароль и посмотреть, приведет ли это к расшифрованному файлу.
Они делают это автоматически с помощью компьютерной программы, поэтому скорость, с которой кто-то может шифровать грубую силу, увеличивается, поскольку доступное компьютерное оборудование становится все быстрее и быстрее, что позволяет делать больше вычислений в секунду. Атака грубой силы, вероятно, начиналась бы с одноразрядных паролей, прежде чем переходить к двузначным паролям и т. Д., Пытаясь использовать все возможные комбинации до тех пор, пока не сработает.
«Словарь-атака» аналогичен и пытается использовать слова в словаре - или список общих паролей - вместо всех возможных паролей. Это может быть очень эффективным, поскольку многие люди используют такие слабые и общие пароли.
Почему атакующие не могут использовать веб-службы Brute-Force
Существует различие между атаками онлайн и оффлайн-грубой силы. Например, если злоумышленник хочет перевести свой счет в свою учетную запись Gmail, они могут начать использовать каждый возможный пароль, но Google быстро отключит их. Службы, предоставляющие доступ к таким учетным записям, будут дросселировать попытки доступа и запрещать IP-адреса, которые пытаются войти в систему столько раз. Таким образом, атака на онлайн-службу не будет работать слишком хорошо, потому что очень мало попыток может быть сделано до того, как атака будет остановлена.
Например, после нескольких неудачных попыток входа в систему Gmail покажет вам изображение CATPCHA, чтобы убедиться, что вы не компьютер, автоматически пытающийся пароли. Они, вероятно, полностью остановят ваши попытки входа в систему, если вам удастся продолжить достаточно долго.
хеширования
Сильные алгоритмы хэширования могут замедлить атаки грубой силы. По сути, алгоритмы хэширования выполняют дополнительную математическую работу над паролем перед сохранением значения, полученного из пароля на диске. Если используется более медленный алгоритм хеширования, потребуется в тысячи раз больше математической работы, чтобы попробовать каждый пароль и значительно замедлить атаки грубой силы. Однако, чем больше требуется работать, тем больше работы сервер или другой компьютер должен делать каждый раз, когда пользователь входит в систему со своим паролем. Программное обеспечение должно сбалансировать устойчивость к атакам грубой силы с использованием ресурсов.
Скорость передвижения
Скорость зависит от оборудования. Интеллектуальные агентства могут создавать специализированные аппаратные средства только для атак с использованием грубой силы, так же как шахтеры Bitcoin создают собственное специализированное оборудование, оптимизированное для разработки Bitcoin. Когда дело доходит до бытового оборудования, наиболее эффективным типом аппаратных средств для атак с грубой силой является графическая карта (GPU). Так как легко попробовать много разных ключей шифрования сразу, многие графические карты, работающие параллельно, идеальны.
В конце 2012 года Ars Technica сообщила, что 25-гигабайтный кластер может взломать каждый пароль Windows под 8 символами менее чем за шесть часов. Алгоритм NTLM, используемый Microsoft, просто недостаточно устойчив. Однако, когда NTLM был создан, потребовалось бы намного больше времени, чтобы попробовать все эти пароли. Это не считалось достаточной угрозой для Microsoft сделать шифрование сильнее.
Скорость растет, и через несколько десятилетий мы можем обнаружить, что даже самые сильные криптографические алгоритмы и ключи шифрования, которые мы используем сегодня, могут быть быстро взломаны квантовыми компьютерами или любым другим оборудованием, которое мы используем в будущем.
Защита ваших данных от агрессивных атак
Невозможно полностью защитить себя. Невозможно сказать, насколько быстро будет получено компьютерное оборудование, и есть ли у любого из алгоритмов шифрования, которые мы используем сегодня, недостатки, которые будут обнаружены и использованы в будущем. Однако, вот основные сведения:
- Храните ваши зашифрованные данные в безопасности, если злоумышленники не могут получить к нему доступ. Как только у вас будут данные, скопированные на их аппаратное обеспечение, они могут попытаться атаковать против нее в свободное время.
- Если вы запустите любую службу, которая принимает логины через Интернет, убедитесь, что она ограничивает попытки входа в систему и блокирует людей, которые пытаются войти в систему со многими разными паролями в течение короткого периода времени. Серверное программное обеспечение, как правило, установлено для этого из коробки, так как это хорошая практика безопасности.
- Используйте сильные алгоритмы шифрования, такие как SHA-512. Убедитесь, что вы не используете старые алгоритмы шифрования с известными слабостями, которые легко взламываются.
- Используйте длинные безопасные пароли. Вся технология шифрования в мире не поможет, если вы используете «пароль» или постоянно популярный «hunter2».
Атаки грубой силы - это то, о чем нужно беспокоиться, когда вы защищаете свои данные, выбираете алгоритмы шифрования и выбираете пароли. Они также являются причиной продолжения разработки более сильных криптографических алгоритмов - шифрование должно идти в ногу с тем, насколько быстро он оказывается неэффективным с помощью нового оборудования.
