Хоча Apple ніколи офіційно не підтверджувала це, передбачається, що в 2014 році технічний гігант став жертвою невеликого, але згубного, порушення безпеки на службі зберігання iCloud. Є підстави припускати, що відсутність захисту від атак грубої сили дозволила викрасти приватні фотографії різних знаменитостей, що було достатньо для Apple, незабаром після атак, вжити заходів захисту. З тих пір механізм безпеки полягає в тому, що користувачі мають максимум десять спроб введіть ваш пароль; якщо ні, рахунок блокується, а власник рахунку отримує повідомлення. До того, як фотографії просочились, введення неправильних паролів не було обмежень, тому розробка атаки грубої сили була лише питанням часу.
Що саме - груба сила?
Термін груба сила перекладається на грубу силу та стосується методу вирішення проблем у галузі інформатики, криптографії та теорії ігор. Метод грубої сили отримує цю назву, оскільки він заснований на спробуйте всі або багато можливих рішень, також відомий як вичерпний пошук і використовується, особливо коли відсутні інші доступні алгоритми. Цей прийом використовують хакери для злому паролів і, таким чином, отримання доступу до зовнішніх даних. Для цього використовується програмне забезпечення з простим алгоритмом, яке виконує послідовність різноманітних комбінацій символів, що складаються з цифр, пробілів та літер до заданої максимальної довжини.
Чим коротші паролі, тим швидше їх буде виявлено грубою силою. Ось чому, загалом, завжди рекомендується використовувати паролі, що містять різні символи, і чому більшість систем шифрування паролів використовують дуже довгі ключі. Оскільки технічних вимог до атак грубої сили стає все легше досягти, можна виконати більше кількість спроб за одиницю часу, що робить необхідною систему захисту від так званих атак грубої сили.
Чому б вам не слід сприймати легковажні атаки грубої сили?
З огляду на примітивний характер методу, можна було б очікувати застосування відповідних заходів безпеки, на жаль, це не завжди так. Потенційно, будь-яка система, підключена до Інтернету, може бути скомпрометована цими атаками. Після того, як хакер залишиться непоміченим і потрапить у систему (щось, що може статися швидше, ніж ви думаєте), зламати ваші паролі не складе труднощів. Більшість операційних систем запускають файли та бази даних, де зберігаються ідентифікатори користувачів та паролі. Наприклад, в системах Windows, паролі їх можна знайти у файлі .sam та на системах unixoid у файлі .psswd або .shadow.
Хоча паролі в цих файлах не мають текстового формату, оскільки вони раніше були закодовані за допомогою криптографічних алгоритмів, зловмисник може отримати доступ до файлів, якщо вони не захищені від несанкціонованого доступу. Він може створити копію файлу та виконувати різні атаки грубої сили без необхідності підтримувати зв’язок із системою. В даний час, в принципі, існує лише три змінні, які полегшують зловмисникові виконання своєї місії:
- тривалість кожного етапу перевірки
- довжина пароль
- складність пароль
Тривалість кожного кроку перевірки, тобто час, який використовується для спроби кожного можливого пароля, залежить від обчислювальна потужність що нападник має у своєму розпорядженні. Чим більше сили, тим швидше послідовність спроб. Довжина та складність визначають кількість можливих комбінацій символів, які можуть складати пароль, а отже, кількість варіантів, які необхідно використовувати під час атаки грубої сили. Ось приклад того, як довжина та складність пароля впливають на тривалість:
| 26 символів | 72 символи |
| Малі літери | Великі та малі регістри, спеціальні символи, цифри |
| 8 символів | 8 символів |
| Прибл. 209 мільйонів | Прибл. 722 млрд |
| Прибл. 100 мільйонів хеш-функцій в секунду | Прибл. 100 мільйонів хеш-функцій в секунду |
| Прибл. 35 хвилин | Прибл. 83 дні |
З таблиці видно, що за допомогою простого пароля та використання 26 символів сучасний ПК Я перевірив би всі можливі комбінації всього за 35 хвилин. Якщо послідовність поширюється на 72 символи, з однаковою обчислювальною потужністю, метод грубої сили займе близько 83 днів. Однак доцільно не довіряти, оскільки такі методи злому, як словникова атака (словосполучення) або використання райдужні дошки (суміжні послідовності паролів) можуть пришвидшити тривалість атаки грубої сили.
Як захиститися від цих атак?
Незалежно від того, чи атака грубої сили націлена на файл центрального пароля системи, або, як у випадку з iCloud, у зловмисника є ідентифікатор Apple жертви, прецеденти доводять важливість захисту від цього поширеного методу злому паролів. Загалом, більшість користувачів знають основні принципи для створювати надійні паролі: повинні використовуватися комбінації, що складаються з різних типів символів; У кращому випадку це так використовуйте великі та малі регістри, а також цифри та спеціальні символи. І звичайно, чим довший пароль, тим важче його зламати.
Пейзаж для творення паролі для онлайн-сервісів Це дещо складніше, оскільки підпорядковується умовам, встановленим постачальником. Типовими вимогами є максимальна довжина від восьми до десяти символів і часто a обмежена кількість цифр і букв, те, що без додаткових заходів безпеки не дуже задовільне. У цих випадках необхідно, щоб ви були обізнані про запобіжні заходи та заходи операторів веб-проектів щодо атак грубої сили. Якщо ви адміністратор веб-сайту з механізмом входу, вся ця відповідальність ляже на ваші плечі. Для цього у вас є два можливі підходи:
- Забезпечення захисту механізму паролів
- Для встановлення багатофакторний метод автентифікації
Захист механізму паролів повинен бути стандартним компонентом масок доступу, однак, як показує згаданий скандал iCloud, це не завжди так. Цей процес захисту стосується реалізації стратегій, які ускладнюють роботу програмного забезпечення грубої сили. Таким чином, у випадку, якщо користувач або зловмисник вводить неправильний пароль, опція введення іншого пароля з’явиться лише через короткий проміжок часу. Також можна збільшити час очікування, оскільки збільшується кількість невдалих спроб. Зробити крок далі, як це зробила Apple після атаки, можна повністю заблокувати обліковий запис користувача після певної кількості спроб реєстрації.
Багато факторних методів автентифікації часто пропонують як опцію багато постачальників. Завдяки цим ви трохи ускладнюєте процес реєстрації, оскільки крім пароля користувачеві необхідно ввести додатковий компонент. Цей компонент може бути відповідь на секретне запитання, PIN-код або так звану капчу. Останні - це невеликі тести, які дозволять повідомляючому органу визначити, чи це людина-користувач, або, як це характерно для атак грубої сили, робот.
Об’єднайте зусилля для боротьби з грубою силою
На додаток до заходів, згаданих вище, є кілька додаткових хитрощів для запобігання атакам грубої сили. Загалом, все програмне забезпечення грубої сили працює з різними схемами ідентифікації, що стає перешкодою, наприклад, коли повідомлення про помилку стандарти не надсилаються назад у браузер, а перенаправляються у зовнішню систему (наприклад, на іншу веб-сторінку). Ще одним фактором, який може становити проблеми для деяких інструментів злому, є використовувати різні назви полів та текстів які з'являються після невдалої спроби входу. У будь-якому випадку, якщо ви хочете підвищити безпеку свого веб-сайту та своїх паролів, завжди рекомендується одночасно впровадити кілька заходів захисту від атак грубої сили.
Для деяких платформ та додатків існують певні плагіни або розширення для запобігання атакам грубої сили. Додаток Jetpack, який, в принципі, полегшує адміністрування веб-сторінок у WordPress, інтегрував, наприклад, модуль для запобігання Небезпечні атаки, засновані на списку заблокованих IP-адрес. ІР-адреси, зібрані в цьому списку, певним чином пов’язані з усіма атаками грубої сили, здійсненими на веб-сайтах WordPress.