Vykdant grubios jėgos ataką, per sekundę išbandomi milijonai naudotojo vardų ir slaptažodžių, kol atspėjami paskyros prisijungimo duomenys. Nors šios atakos yra paprastos, jos pernelyg dažnai būna sėkmingos.
Šiandien paprastai paaiškinsime, kas yra grubios jėgos ataka, kaip ji veikia, ar ji teisėta ir kaip prieš ją atsilaiko dabartinės saugumo sistemos.
Kaip veikia grubios jėgos ataka?
Grubios jėgos atakos techniniu požiūriu yra paprastos ir jomis įsilaužėliai dažnai pasiekia puikių rezultatų. Iš esmės, grubios jėgos atakomis piktavaliai siekia prieigos prie internetinių paskyrų.
Įsilaužėliai mėgsta šio tipo atakas, nes tam nereikia daug pastangų – viską atlieka kompiuteris. Per ataką siekiama greitai atspėti konkrečios paskyros naudotojo vardą bei slaptažodį ir įgyti neteisėtą prieigą. Grubios jėgos metodą naudojanti kompiuterinė programa piktavališkai išbando begalę naudotojo vardo ir slaptažodžio kombinacijų, kol suranda tinkamą.
Kaip greitai įvykdoma grubios jėgos ataka?
Slaptažodžio nulaužimo greitis priklauso nuo:
slaptažodžio sudėtingumo;
nusikaltėlio kompiuterio galingumo.
Trumpai aptarsime abu veiksnius
Greitis, priklausomai nuo slaptažodžio sudėtingumo:
grubios jėgos ataką vykdančios kompiuterinės programos per sekundę gali patikrinti nuo 10 000 iki 1 milijardo slaptažodžių;
standartinę klaviatūrą sudaro 94 skaitmenys, raidės ir simboliai. Šiais klavišais iš viso galima sugeneruoti apie du šimtus milijardų 8 ženklų ilgio slaptažodžių;
kuo slaptažodis ilgesnis ir labiau atsitiktinis, tuo sunkiau jį nulaužti. 9 ženklų ilgio slaptažodis su specialiuoju ženklu nulaužiamas maždaug per 2 valandas, o be specialiojo ženklo – vos per 2 minutes;
daug sunkiau nulaužti slaptažodį, kurį sudaro 12 įvairių ženklų, – tai gali trukti šimtmečius.
Apibendrinimas
Tik iš mažųjų raidžių sudaryto paprasto slaptažodžio kombinacijų yra daug mažiau nei derinių iš įvairių atsitiktinių ženklų (apie 300 mln.). Todėl paprastą slaptažodį kompiuteriai gali atspėti gana greitai – „Pentium 100“ tai atliktų per 8,5 valandos, o superkompiuteris – akimirksniu.
„Pentium 100“ gali išbandyti 10 000 slaptažodžių per sekundę. Superkompiuteris per sekundę gali išbandyti 1 000 000 000 slaptažodžių. Todėl reikia naudoti kitokį slaptažodį.
Grubios jėgos atakų tipai
Grubios jėgos atakos gali būti įvairių tipų ir formų. Štai keletas dažniausiai pasitaikančių grubios jėgos atakų tipų, kuriuos įsilaužėliai naudoja siekdami neteisėtos prieigos prie internetinių paskyrų.
Paprastoji grubios jėgos ataka
Paprastoji grubios jėgos ataka, kaip nurodo pavadinimas, yra pats nesudėtingiausias tipas. Per tokią ataką piktavalis bando atspėti naudotojo slaptažodį neautomatiškai, nenaudodamas programinės įrangos įrankių. Užpuolikas išbando dažnai naudojamus paprastus slaptažodžius, pavyzdžiui: 123456, qwerty, slaptažodis ir slaptažodis123. Deja, paprastoji grubios jėgos ataka gali būti gana veiksminga – daugelis žmonių ir toliau internetines paskyras apsaugo nesudėtingais bei lengvai atspėjamais slaptažodžiais.
Žodyno atakos
Nors žodyno ataka neatitinka griežtų grubios jėgos atakos kriterijų, abu išpuoliai yra glaudžiai susiję. Paprasčiau tariant, žodynų ataka yra slaptažodžių atskleidimo metodas, pagal kurį išbandoma daugybė įprastų žodžių ir jų variantų. Įsilaužėliai naudoja programinę įrangą, kuri per sekundę gali atlikti tūkstančius spėjimų pasitelkdama žodynų duomenų bazes (iš to ir kilo atakos pavadinimas). Ilgainiui žodynų atakų populiarumas sumažėjo, nes ištobulėjo nauji atakų tipai.
Hibridinė grubios jėgos ataka
Kaip galima spręsti iš pavadinimo, hibridinė grubios jėgos ataka apjungia žodynų ir grubios jėgos atakas, kad sėkmės tikimybė padidėtų. Dažnai hibridinė ataka naudojama tada, kai užpuolikas jau žino savo aukos naudotojo vardą.
Per hibridinę ataką siekiama išbandyti įvairius neįprastus slaptažodžių derinius, pavyzdžiui, „MonkeyBig123“. Dažniausiai užpuolikas pradeda nuo žodžių sąrašo ir bando pakeisti ženklus bei įtraukti specialiųjų ženklų ar skaitmenų, kad gautų kuo daugiau pirminių žodžių variantų.
Atvirkštinė grubios jėgos ataka
Atvirkštinė grubios jėgos ataka yra visiškai priešinga hibridiniam išpuoliui. Ją vykdantis užpuolikas iš anksto žino slaptažodį ir tada bando atspėti naudotojo vardą.
Užpuolikai slaptažodžius dažniausiai gauna iš nutekintų duomenų bazių ir stengiasi rasti juos atitinkančius naudotojo vardus.
Prisijungimo duomenų kaupimas
Prisijungimo duomenų kaupimas yra ataka, kurią įvykdantys piktavaliai jau turi naudotojo vardų ir slaptažodžių rinkinį. Įsilaužėliai gali gauti ištisas pavogtų prisijungimo duomenų bazes ir panaudoti jas puldami paskyrą. Jei užpultas naudotojas tą patį slaptažodį naudoja keliose paskyrose, tokio pobūdžio ataka gali būti pražūtinga.
Vaivorykštinės lentelės ataka
Per vaivorykštinės lentelės ataką naudojamos vaivorykštinės lentelės ir siekiama gauti prieigą prie slaptažodžių nulaužiant slaptažodžių maišos reikšmes duomenų bazėje. Svetainės ar programėlės slaptažodžių nesaugo paprastuoju tekstu; jos slaptažodžius užšifruoja priskirdamos maišos reikšmes. Kai prisijungiant panaudojamas slaptažodis, jis iškart konvertuojamas į maišos reikšmę. Kitą kartą naudotojui pateikus prisijungimo slaptažodį serveris patikrina, ar slaptažodis atitinka anksčiau sukurtą maišos reikšmę. Jei abi reikšmės sutampa, naudotojas patvirtinamas. Lentelės, naudojamos slaptažodžių maišos reikšmėms saugoti, yra vadinamos vaivorykštinėmis lentelėmis.
Daugeliu atvejų vaivorykštės lentelės ataką pradedantis įsilaužėlis privalo turėti vaivorykštinę lentelę. Jų dažnai galima nusipirkti tamsiajame internete arba pavogti. Per ataką naudodami lentelę piktavaliai bando iššifruoti slaptažodžių maišos reikšmes ir gauti prieigą prie neužšifruoto slaptažodžio teksto.
Kokie yra grubios jėgos atakų motyvai?
Paprastai grubios jėgos atakos yra pirmoji puolimo banga. Daugeliu atvejų šių atakų tikslas yra gauti neteisėtą prieigą prie tinklo. Ją įgiję įsilaužėliai tinkle vykdys tolesnes grubios jėgos atakas ir sieks aukštesnio lygmens teisių, kad galėtų padaryti dar daugiau žalos arba gauti prieigą prie serverių ir duomenų bazių.
Ar grubios jėgos ataka yra neteisėta?
Grubios jėgos ataka teisėta yra tik tada, kai tikrinate sistemos saugumą, gavę rašytinį jos savininko sutikimą.
Daugeliu atvejų grubios jėgos ataka naudojama siekiant pavogti naudotojo prisijungimo duomenis bei įgyti neteisėtą prieigą prie banko sąskaitų, prenumeratos paskyrų, konfidencialių failų ir pan. Todėl ši ataka yra neteisėta.
Kaip apsisaugoti nuo grubios jėgos atakų
Įmonės ir privatūs asmenys nuo grubios jėgos atakų gali apsisaugoti įvairiais būdais. Pagrindinis grubios jėgos atakos veiksnys yra laikas. Kai kurie išpuoliai gali trukti kelias savaites ar net mėnesius. Taigi, dauguma apsaugos strategijų apima pastangas pailginti laiką, per kurį galima įvykdyti sėkmingą ataką.
Naudokite sudėtingus, unikalius slaptažodžius
Sudėtingi slaptažodžiai yra ilgi ir apima įvairius specialiuosius ženklus, skaitmenis bei mažąsias ir didžiąsias raides. Prieigą apsaugojus sudėtingu ir unikaliu slaptažodžiu, gali praeiti šimtmečiai, kol jis bus nulaužtas. Todėl visada rekomenduojama naudoti mažiausiai 12 ženklų ilgio slaptažodį, apimantį pakankamai skaitmenų ir specialiųjų ženklų.
Be to, to paties slaptažodžio niekada nenaudokite keliose paskyrose. Tai padidina tikimybę, kad į jūsų paskyras bus įsilaužta. Pakartotinai naudojami slaptažodžiai yra kaip vienas raktas, skirtas visoms durims atrakinti. Jei keliose paskyrose naudojamą slaptažodį sužinos piktavaliai, jie akimirksniu gaus prieigą prie visų tų paskyrų.
Viena geriausių priemonių sudėtingiems ir unikaliems slaptažodžiams kurti yra slaptažodžių generatorius, leidžiantis greitai sugeneruoti sunkiai nulaužiamų slaptažodžių.
Kai įmanoma, nustatykite kelių veiksnių autentifikaciją
Kelių veiksnių autentifikacija yra saugumo priemonė, dėl kurios reikia atlikti papildomus tapatybės patvirtinimo veiksmus. Šiandien dauguma internetinių paslaugų suteikia naudotojams galimybę atlikti autentifikaciją keliais veiksniais. Šis metodas dažniausiai veikia naudojant autentifikavimo programėles ir teksto pranešimus. Jei paskyrose įjungsite kelių veiksnių autentifikaciją, neturėdami jūsų įrenginių užpuolikai negalės įvykdyti papildomo autentifikavimo veiksmo, net jei jie žinos jūsų naudotojo vardą ir slaptažodį.
Nesinaudokite paslaugomis, kurios neužšifruoja duomenų
Norint apsaugoti duomenis, juos būtina užšifruoti. Bet koks patikimas internetinės paslaugos teikėjas pasirūpins, kad jūsų duomenys, įskaitant naudotojo vardus ir slaptažodžius, būtų užšifruoti.
Tačiau dažnai girdime, kad kai kurios internetinės platformos renkasi lengviausią kelią, nesinaudoja tinkamomis saugumo priemonėmis ir slaptažodžius bei kitus vertingus duomenis apsaugo paprastuoju tekstu. Tokia saugumo praktika beveik užtikrina, kad įvyks nelaimė.
Todėl prieš prisiregistruodami naujos internetinės paslaugos platformoje įsitikinkite, kad teikėjas klientų duomenis apsaugo pasitelkdamas šifravimą ir kitas kibernetinio saugumo priemones.
„XchaCha20“ šifravimo metodas
Paprasčiau tariant, šifravimas yra duomenų kodavimo būdas, užtikrinantis, kad informaciją galėtų suprasti tik įgaliotosios šalys. Šifravimo algoritmai tokius nuskaitomus duomenis kaip slaptažodžiai ir naudotojo vardai pakeičia į atsitiktines reikšmes. Svarbu tai, kad net ir pavogę užšifruotus duomenis piktavaliai negalės jais pasinaudoti, jei neturės kriptografinio rakto, kurį gauti nėra taip paprasta.
„NordPass“ naudoja pažangiausią XChaCha20 šifravimo metodą, todėl tai yra viena saugiausių slaptažodžių tvarkyklių. „XChaCha20“ taip pat palaiko 256 bitų raktą, kuris šiuo metu užtikrina patį saugiausią šifravimą. Šis „Google“ ir „Cloudflare“ mėgstamas šifravimo metodas yra toks pažangus, kad jį įveikti superkompiuteriui prireiktų šimtmečių.
Išsami apsaugos sistema
Šifravimas yra tik viena saugumo strategijos dalis, todėl labai svarbu įvertinti bendrą skirtingų apsaugos priemonių veiksmingumą. Pasitelkus stiprią apsaugos sistemą, pavyzdžiui, „NordPass“, kurioje naudojamas toks patikimas algoritmas kaip „XChaCha20“, užpuolikas neturėtų jokių šansų.
Iš tikrųjų, būtent tuo „NordPass“ ir skiriasi nuo produktų, siūlančių panašias, bet paviršutiniškai apsaugotas funkcijas. Tai išsami ir sudėtinga gynybos sistema, kurios dizainas užtikrina aukščiausio lygio apsaugą.