Vad är Brute Force Attacks och hur kan du skydda dig själv?

Om du läser våra säkerhetsartiklar regelbundet - som om den här testar din lösenordsstyrka Testa ditt lösenordsstyrk med samma verktygshackare Använd test Ditt lösenordsstyrk med samma verktygshackare Använd Är ditt lösenord säkert? Verktyg som bedömer din lösenordsstyrka har dålig noggrannhet, vilket innebär att det enda sättet att verkligen testa dina lösenord är att försöka bryta dem. Låt oss titta på hur. Läs mer - du har nog hört frasen “brute force attack.” Men vad betyder det exakt? Hur fungerar det? Och hur kan du skydda dig mot det? Här är vad du behöver veta.

Brute Force Attacks: Grunderna

När det kommer till det är en brute force attack väldigt enkel: ett datorprogram försöker gissa ett lösenord eller en krypteringsnyckel genom att iterera genom alla möjliga kombinationer av ett visst antal tecken. Till exempel, låt oss säga att du skrev en app som försökte brute tvinga ett fyrtaligt iPhone-lösenord. Det kan gissa 1111, sedan 1112, sedan 1113, 1114, 1115 och så vidare tills det kom till 9999.

Samma princip kan tillämpas med mer komplicerade lösenord. En brute force algoritm kan börja med aaaaaa, aaaaab, aaaaaac och fortsätt sedan till saker som aabaa1, aabaa2, aabaa3 och så vidare genom alla sexteckna kombinationerna av nummer och bokstäver ner till zzzzzz, zzzzz1 och bortom.

Det finns också en teknik som kallas omvänd brutal kraftattack, i vilket ett lösenord är försökt mot många olika användarnamn. Detta är mindre vanligt och svårare att framgångsrikt använda, men det tar sig runt några vanliga motåtgärder.

Som du kan se är det här ett ganska inelegant sätt att gissa ett lösenord. Men teoretiskt sett, om du hade tillräckligt med datakraft och tillräckligt med energi, kan du gissa något lösenord. Men om du använder något annat än ett kort, enkelt lösenord, har du inget att oroa dig för, eftersom den mängd datorkraft det skulle ta för att gissa ett längre lösenord skulle kräva en stor mängd energi och kan ta år att slutföra.

Advanced Brute Force Attacks

Eftersom brutala kraftattacker på allt annat än väldigt enkla lösenord är oerhört ineffektiva och tidskrävande har hackare kommit med några verktyg som gör dem mer effektiva.

En ordboksattack, till exempel, inte bara repeteras genom alla möjliga kombinationer av tecken; den använder ord, siffror eller strängar av tecken från en förkompilerad lista som hackaren anser vara minst något mer sannolikt än genomsnittet för att dyka upp i ett lösenord (det här är den typ av attack du kan köra med ganska enkel nätverkspenetration testprogramvara Så här testar du hemnätverkssäkerheten med fria hackverktyg Hur du testar din hemnätverkssäkerhet med fria hackverktyg Inget system kan vara helt "hacksäkert", men säkerhetsprov på webbläsare och nätverksskydd kan göra din installation mer robust. dessa fria verktyg för att identifiera "svaga fläckar" i ditt hemnätverk. Läs mer).

Till exempel kan en ordboksattack försöka ett antal vanliga lösenord innan du går in i en standard brute force attack, som “Lösenord,” “mitt lösenord,” “släpp in mig,” och så vidare. Eller det kan lägga till “2016” vidare till slutet av alla lösenord som det försöker innan du går vidare till nästa lösenord.

Olika metoder för att använda brutala kraftattacker existerar, men de är alla beroende av att försöka ett stort antal lösenord så fort som möjligt tills den rätta finns. Vissa kräver mer datorkraft, men spara i tid; vissa är snabbare, men kräver en större mängd lagring som ska användas under attacken.

Där Brute Force Attacks är farliga

Brutta kraftattacker kan användas på allt som har ett lösenord eller en krypteringsnyckel, men många ställen där de skulle kunna användas har använt effektiva motåtgärder mot dem (som du ser i nästa avsnitt).

Du är i största fara från en brutal kraftattack om du förlorar dina data och en hacker får tag i det. När det är på datorn kan några av de skydd som finns på din maskin eller online kringgå.

Hur kan en misshandlare få dina data på sin dator? Du kan förlora en flash-enhet, kanske genom att lämna den i fickan på dina kläder som du skickade till en kemtvätt, som de 4.500 flash-enheterna som hittades 2009 i Storbritannien. Eller, som de andra 12 500 enheterna, kan du lämna en telefon eller en bärbar dator i en hytt. Det är en lätt sak att göra.

Eller kanske någon kunde ladda ner något från en molntjänst eftersom du delade en osäker, förkortad länk Är förkortade länkar som kompromissar din säkerhet? Är förkortade länkar kompromisser din säkerhet? En ny studie visade att bekvämligheten med URL-förkortningar som bit.ly och goo.gl kan medföra en betydande risk för din säkerhet. Är det dags att sluta verktyg för URL-kortare? Läs mer . Eller kanske du slog med lite ransomware som inte bara låste datorn, utan också stal några av dina filer.

Poängen med allt detta är att brutta kraftattacker inte är effektiva på vissa ställen, men det finns många sätt på vilka de kan användas mot dina data. Det bästa sättet att förhindra att dina data hamnar på en hackers dator är att hålla reda på var dina enheter (speciellt flash-enheter!) Är.

Skydda mot brutna kraftattacker

Det finns ett antal försvar som webbplatser eller appar kan använda mot brutala kraftattacker. En av de enklaste och mest använda är lockout: Om du anger ett felaktigt lösenord ett visst antal gånger blir kontot låst och du behöver kontakta kundservice eller din IT-avdelning. Detta stoppar en brute force attack i dess spår.

En liknande taktik kan användas med en CAPTCHA-utmaning Allt du någonsin vill veta om CAPTCHAs men var rädd att fråga [Teknologi förklarad] Allt du någonsin velat veta om CAPTCHAs men var rädd att fråga [Teknologi förklarad] Älska dem eller hata dem - CAPTCHAs har blivit allestädes närvarande på Internet. Vad på jorden är en CAPTCHA ändå, och var kom den ifrån? Ansvarig för ögonspänning världen över, den ödmjuka CAPTCHA ... Läs mer eller liknande uppgifter. Ingen av dessa metoder kommer att fungera mot en omvänd brutal kraftattack, eftersom det bara kommer att misslyckas ett lösenordstest en gång för varje konto.

En annan metod som kan användas för att förhindra dessa attacker (både standard och omvänd) är tvåfaktorsautentisering. Vad är tvåfaktorautentisering och varför du borde använda det Vad är tvåfaktorautentisering och varför du borde använda den Tvåfaktorn autentisering (2FA) är en säkerhetsmetod som kräver två olika sätt att bevisa din identitet. Det används ofta i vardagen. Till exempel betalar med ett kreditkort krävs inte bara kortet, ... Läs mer (2FA); även om en hacker gissar rätt lösenord, kommer kravet på en annan kod eller inmatning att stoppa en attack även om den antar det korrekta lösenordet. Lyckligtvis innehåller fler och fler tjänster 2FA-låsning av dessa tjänster nu med tvåfaktorautentiseringslås ner dessa tjänster nu med tvåfaktorsautentisering Tvåfaktorsautentisering är smart sätt att skydda dina onlinekonton. Låt oss ta en titt på några av de tjänster du kan locka ner med bättre säkerhet. Läs mer i sina system. Det kan vara ett krångel Kan tvåstegs verifiering vara mindre irriterande? Fyra hemliga hackar garanterade för att förbättra säkerheten Kan tvåstegs verifiering vara mindre irriterande? Fyra hemliga hackor som garanteras för att förbättra säkerheten Vill du ha kollisionsskyddad kontosäkerhet? Jag föreslår mycket att aktivera vad som kallas "tvåfaktorns" autentisering. Läs mer, men det skyddar dig mot många attacker.

Det är värt att notera att medan dessa taktik är bra för att undvika brutala kraftattacker, kan de också användas för att attackera en webbplats på andra sätt. Till exempel, om en brute force attack startas mot en webbplats som låser konton efter fem felaktiga försök kunde deras kundservice team bli översvämmade med samtal och sakta ner webbplatsen. Det kan också användas som en del av ett distribuerat avslag på serviceavfall. Vad är ett DDoS-angrepp? [MakeUseOf Förklarar] Vad är ett DDoS Attack? [MakeUseOf Explains] Termen DDoS visslar förbi när cyberaktivism ger upp huvudet en massa. Dessa typer av attacker gör internationella rubriker på grund av flera anledningar. De problem som hoppa över de DDoS-attackerna är ofta kontroversiella eller mycket ... Läs mer .

Det allra enklaste sättet att skydda dig mot en brutal kraftattack är att använda ett långt lösenord. Eftersom längden på ett lösenord ökar, växer den beräkningskraft som krävs för att gissa alla möjliga teckenkombinationer mycket snabbt. I ett papper om säkerhetsriskerna för URL-kortare visade forskarna hur fem-, sex- och sju tecken token var lätt att gissa, men 11- och 12 tecken token var nästan omöjliga.

Du kan tillämpa samma logik på dina lösenord. Använd starka lösenord 6 Tips för att skapa ett obrottsbart lösenord som du kan komma ihåg 6 tips för att skapa ett obrottsbart lösenord som du kan komma ihåg Om dina lösenord inte är unika och oföränderliga kan du också öppna ytterdörren och bjuda in rånarna till lunch. Läs mer, och du kommer bara att vara immun mot brutala våldsattacker.

En överraskande effektiv attack

För hur enkelt och inelegant det är - det heter “råstyrka” av en anledning, trots allt - denna typ av attack kan vara överraskande effektiv för att få tillgång till lösenordsskyddade och krypterade områden. Men nu när du vet hur attacken fungerar och hur du kan skydda dig mot det, borde du inte ha mycket att oroa dig för!

Använder du tvåfaktors autentisering? Är du medveten om andra bra försvar mot brutta våldsattacker? Dela dina tankar och tips nedan!

Bildkrediter: TungCheung via Shutterstock, cunaplus via Shutterstock.

Utforska mer om: Datorsäkerhet, Online-säkerhet, Lösenord.