פרסומת
אם אתה קורא את מאמרי האבטחה שלנו על בסיס קבוע - כמו על זה בדיקת חוזק הסיסמה שלך בדוק את חוזק הסיסמה שלך באותו כלי בו משתמשים האקריםהאם הסיסמה שלך מאובטחת? לכלים שמעריכים את חוזק הסיסמה שלך יש דיוק לקוי, כלומר הדרך היחידה לבחון באמת את הסיסמאות שלך היא לנסות לשבור אותם. בואו נראה איך. קרא עוד - בטח שמעתם את הביטוי "התקפה בכוח בריא". אבל מה, בדיוק, זה אומר? איך זה עובד? ואיך אתה יכול להגן על עצמך מפני זה? הנה מה שאתה צריך לדעת.
התקפות של כוח הזרוע: היסודות
כשמדובר בזה, מתקפת כוח ברוטה היא ממש פשוטה: תוכנית מחשב מנסה לנחש א סיסמה או מפתח הצפנה על ידי איטרציה של כל הצירופים האפשריים של מספר מסוים של תווים. לדוגמה, נניח שכתבת אפליקציה שניסתה להבריח את סיסמת ה- iPhone בעלת ארבע המספרים. זה יכול לנחש 1111, ואז 1112, ואז 1113, 1114, 1115 וכן הלאה עד שזה הגיע ל 9999.
ניתן ליישם את אותו העיקרון באמצעות סיסמאות מורכבות יותר. אלגוריתם הכוח הזרוע עשוי להתחיל עם aaaaaa, aaaaab, aaaaaac, ואז להמשיך לדברים כמו aabaa1, aabaa2, aabaa3 וכן הלאה, דרך כל השילובים של שש תווים של מספר ואותיות עד zzzzzz, zzzzz1, ו- מעבר.
יש גם טכניקה המכונה התקפת כוח הזרוע ההפוך, שבה נוסה סיסמא אחת נגד שמות משתמשים רבים ושונים. זה פחות נפוץ וקשה יותר לשימוש בהצלחה, אך הוא מסביב כמה אמצעי נגד שכיחים.
כפי שאתה יכול לראות, זו דרך די אלגנטית לנחש סיסמא. עם זאת, תיאורטית, אם היה לך מספיק כוח מחשוב ומספיק אנרגיה, היית יכול לנחש כל סיסמא. אבל אם אתה משתמש במשהו שאינו סיסמא קצרה ופשוטה, אין לך מה לדאוג, כמות של כוח מחשוב שיידרש כדי לנחש סיסמא ארוכה יותר תדרוש כמות עצומה של אנרגיה ויכולה לקחת שנים רבות שלם.
התקפות מתקדמות של כוח הזרוע
מכיוון שההתקפות של כוח הזרוע על כל דבר פרט לסיסמאות פשוטות מאוד אינן יעילות ולוקחות זמן רב, האקרים הגישו כמה כלים שהופכים אותם ליעילים יותר.
התקפת מילון, למשל, לא רק עוברת את כל צירופי התווים האפשריים; הוא משתמש במילים, מספרים או מחרוזות של תווים מתוך רשימה שהוכנה מראש שההאקר רואה לפחות קצת יותר סביר מהממוצע להופיע בסיסמה (זה סוג ההתקפה שאפשר להפעיל איתם בצורה די פשוט תוכנת בדיקת חדירת רשת כיצד לבדוק את אבטחת הרשת הביתית שלך עם כלי פריצה חינםאף מערכת אינה יכולה להיות "הוכחת פריצות" לחלוטין, אך בדיקות אבטחה של דפדפנים ואבטחי רשת יכולים להפוך את ההתקנה שלך לחזקה יותר. השתמש בכלים חינמיים אלה כדי לזהות "נקודות חולשה" ברשת הביתית שלך. קרא עוד ).
לדוגמה, מתקפת מילון עשויה לנסות מספר סיסמאות נפוצות לפני שהיא נכנסת למתקפת כוח ברוט סטנדרטית, כמו "סיסמה", "סיסמת סיסמה", "letmein" וכן הלאה. או שהוא עשוי להוסיף את "2016" לסוף כל הסיסמאות שהוא מנסה לפני שהיא נכנסת לסיסמה הבאה.
קיימות שיטות שונות לשימוש בפיגועי כוח סוערים, אך כולן מסתמכות לנסות מספר עצום של סיסמאות במהירות האפשרית עד שתמצא אותה נכונה. חלקם דורשים יותר כוח מחשוב, אך חוסכים בזמן; חלקם מהירים יותר, אך דורשים שימוש בכמות אחסון גדולה יותר במהלך ההתקפה.
איפה שההתקפות של כוח הזרוע מסוכנות
ניתן להשתמש בפיגועי כוח בריוט על כל דבר שיש בו סיסמה או מפתח הצפנה, אך במקומות רבים ניתן היה להשתמש בהם אם נפרס נגדם אמצעי נגד יעילים (כפי שתראה בסעיף הבא).
אתה נמצא בסכנה הגדולה ביותר ממתקפת כוח סוער אם תאבד את הנתונים שלך והאקר תופס אותם - פעם אחת זה במחשב שלהם, כמה מההגנות הקיימות במחשב שלך או ברשת יכולות להיות עקף.
כיצד יכול שגיאה לא נכונה להעביר את הנתונים שלך למחשב שלהם? אתה עלול לאבד כונן הבזק, אולי אם תשאיר אותו בכיס בגדיך ששלחת למנקה יבש, כמו ה נמצאו 4,500 כונני הבזק בשנת 2009 בבריטניה. או כמו 12,500 המכשירים האחרים שנמצאו, אתה יכול להשאיר טלפון או מחשב נייד במונית. זה דבר קל לעשות.
או שמישהו הצליח להוריד משהו משירות ענן מכיוון ששיתפת קישור מקוצר לא בטוח האם קישורים מקוצרים פוגעים בביטחון שלך?מחקר שנערך לאחרונה הראה כי הנוחות של מקצרי כתובות אתרים כמו bit.ly ו- goo.gl עשויה לבוא בסיכון משמעותי לביטחונכם. האם הגיע הזמן לפרוש מכלי קיצור כתובות אתרים? קרא עוד . או שאולי קיבלתם תוכנות רנסומיות שלא רק ננעלו את המחשב שלכם, אלא גם גנבו חלק מהקבצים שלכם.
העניין של כל זה הוא שתקיפות כוח בריוט אינן יעילות במקומות מסוימים, אך ישנן דרכים רבות בהן ניתן לפרוס כנגד הנתונים שלך. הדרך הטובה ביותר למנוע מהנתונים שלך להגיע למחשב של האקר היא לעקוב מקרוב היכן נמצאים המכשירים שלך (במיוחד כונני הבזק!).
הגנה מפני התקפות כוח אמיץ
ישנן מספר הגנות בהן אתרים או אפליקציות יכולים להשתמש כנגד התקפות כוח סוער. אחד הפשוטים והנפוצים ביותר הוא נעילה: אם אתה מזין סיסמה שגויה מסוימת מספר פעמים, החשבון ננעל ועליך ליצור קשר עם שירות הלקוחות או ה- IT שלך מחלקה. זה מפסיק פיגוע כוח סוער במסילותיו.
ניתן להשתמש בטקטיקה דומה עם א אתגר CAPTCHA כל מה שרצית לדעת על CAPTCHA אך פחדת לשאול [הסבר טכנולוגיה]אוהבים אותם או שונאים אותם - CAPTCHAs הפכו להיות בכל מקום באינטרנט. מה לכל הרוחות הוא CAPTCHA בכל מקרה, ומאיפה הוא הגיע? אחראי למתח עיניים בכל העולם, CAPTCHA הצנוע ... קרא עוד או משימות דומות אחרות. אף אחת מהשיטות הללו לא תפעל נגד מתקפת כוח ברוטה הפוכה, מכיוון שהיא תיכשל במבחן סיסמה פעם אחת עבור כל חשבון.
שיטה נוספת שניתן להשתמש בה למניעת התקפות אלה (הן סטנדרטיות והן הפוכות) היא אימות דו-גורמי מה זה אימות דו-גורמי, ומדוע עליך להשתמש בואימות דו-גורמי (2FA) הוא שיטת אבטחה הדורשת שתי דרכים שונות להוכחת זהותך. הוא נפוץ בחיי היומיום. לדוגמא תשלום בכרטיס אשראי לא רק מחייב את הכרטיס, ... קרא עוד (2FA); אפילו אם האקר אכן מנחש את הסיסמא הנכונה, הדרישה לקוד או קלט אחרים תעצור התקפה גם אם היא כן מניחה את הסיסמה הנכונה. למרבה המזל, יותר ויותר שירותים הם שילוב 2FA נעל את השירותים כעת באמצעות אימות דו-גורמיאימות דו-גורמי הוא הדרך החכמה להגן על חשבונותיך המקוונים. בואו נסתכל על כמה מהשירותים שתוכלו לנעול בביטחון טוב יותר. קרא עוד למערכות שלהם. זה יכול להיות טרחה האם אימות דו-שלבי יכול להיות פחות מעצבן? ארבעה פריצות סודיות המובטחות לשיפור האבטחההאם אתה רוצה אבטחת חשבונות מוגנת נגד כדורים? אני ממליץ מאוד לאפשר מה שמכונה אימות "שני גורמים". קרא עוד , אבל זה יגן עליך מפני הרבה התקפות.
ראוי לציין כי בעוד שטקטיקות אלה נהדרות להימנעות מהתקפות כוח סוער, ניתן להשתמש בהן גם לתקיפת אתר בדרכים אחרות. לדוגמא, אם מתקפת כוח בריוט נגד אתר שנועל חשבונות לאחר חמישה ניסיונות שגויים, צוות שירות הלקוחות שלהם יכול להציף בשיחות, ולהאט את האתר. זה יכול להיות מועסק גם כחלק מ- הפצת התקפת מניעת שירות מהי התקפת DDoS? [MakeUseOf מסביר]המונח DDoS שורק על פניו בכל פעם שהסייבר-אקטיביזם מעלה את ראשו בהמוניו. פיגועים מסוג זה עולים לכותרות בינלאומיות בגלל סיבות מרובות. הנושאים המפעילים את התקפות ה- DDoS הם לעתים קרובות שנוי במחלוקת או מאוד ... קרא עוד .
הדרך הקלה ביותר להגן על עצמך מפני מתקפת כוח סוער היא להשתמש בסיסמה ארוכה. ככל שאורך הסיסמה גדל, כוח החישוב הנדרש כדי לנחש את כל שילובי התווים האפשריים גדל במהירות רבה. במאמר שעסק בסיכוני האבטחה של קיצורי כתובות אתרים, החוקרים הראו עד כמה קל היה לנחש אסימונים של חמש, שישה ושבעה תווים, אך אסימוני 11- ו -12 תווים כמעט בלתי אפשריים.
אתה יכול להחיל את אותו היגיון על הסיסמאות שלך. השתמש בסיסמאות חזקות 6 טיפים ליצירת סיסמא בלתי ניתנת לשבירה שאתה זוכראם הסיסמאות שלך אינן ייחודיות ובלתי ניתנות לשבירה, תוכל באותה מידה לפתוח את דלת הכניסה ולהזמין את השודדים לארוחת צהריים. קרא עוד , ואתה תהיה כל חוץ מחסין מפני התקפות כוח סוער.
התקפה יעילה באופן מפתיע
עד כמה זה פשוט ולא אלגנטי - זה נקרא "כוח ברוט" מסיבה כלשהי, התקפה מסוג זה יכולה להיות יעילה באופן מפתיע לקבלת גישה לאזורים המוגנים באמצעות סיסמה ומוצפנים. אבל עכשיו כשאתה יודע איך ההתקפה עובדת ואיך אתה יכול להגן על עצמך מפני זה, אתה לא צריך לדאוג לדברים!
האם אתה משתמש באימות דו-גורמי? האם אתה מודע להגנות טובות אחרות נגד התקפות כוח סוער? שתף את המחשבות והטיפים שלך למטה!
נקודות זכות: TungCheung דרך Shutterstock, cunaplus דרך Shutterstock.
דן הוא אסטרטגיית תוכן ויועץ שיווקי המסייע לחברות לייצר ביקוש ומובילים. הוא גם מבלוג על אסטרטגיה ושיווק תוכן ב- dannalbright.com.
