Brute Force Attacks Förklarade Hur All Kryptering är Sårbar
Brutta våldsattacker är ganska enkla att förstå, men svåra att skydda mot. Kryptering är matte, och när datorer blir snabbare vid matematik blir de snabbare när man försöker alla lösningar och ser vilken som passar.
Dessa attacker kan användas mot alla typer av kryptering, med varierande grad av framgång. Brutta våldsattacker blir snabbare och effektivare med varje dag som går, eftersom nyare, snabbare datormaskinvara släpps.
Brute-Force Basics
Brutta våldsattacker är enkla att förstå. En angripare har en krypterad fil - säg din LastPass eller KeePass lösenordsdatabas. De vet att den här filen innehåller data som de vill se, och de vet att det finns en krypteringsnyckel som låser upp den. För att dekryptera det kan de börja prova varje enskilt lösenord och se om det resulterar i en dekrypterad fil.
De gör det automatiskt med ett datorprogram, så den hastighet som någon kan brute-force kryptering ökar, eftersom tillgänglig maskinvara blir snabbare och snabbare, som kan göra mer beräkningar per sekund. Brutten-kraft attack skulle troligtvis börja med ensiffriga lösenord innan du flyttar till tvåsiffriga lösenord och så vidare, försöker alla möjliga kombinationer tills en fungerar.
En "ordboksattack" är liknande och försöker ord i en ordlista - eller en lista med vanliga lösenord - istället för alla möjliga lösenord. Det kan vara mycket effektivt, så många använder sådana svaga och vanliga lösenord.
Varför attacker inte kan brute-Force webbtjänster
Det finns en skillnad mellan online och offline brute-force attacker. Om en angripare exempelvis vill brutna sig in i ditt Gmail-konto kan de börja prova varje enskilt lösenord - men Google kommer snabbt att skära av dem. Tjänster som ger tillgång till sådana konton kommer att försöka få åtkomst till gaspedaler och förbjuda IP-adresser som försöker logga in så många gånger. En attack mot en onlinetjänst skulle alltså inte fungera för bra eftersom väldigt få försök kan göras innan attacken skulle stoppas.
Till exempel, efter några misslyckade inloggningsförsök, visar Gmail dig en CATPCHA-bild för att verifiera att du inte är en dator som automatiskt försöker lösenord. De kommer sannolikt att stoppa dina inloggningsförsök helt om du lyckades fortsätta tillräckligt länge.
Låt oss däremot säga att en angripare hämtade en krypterad fil från din dator eller lyckats kompromissa med en onlinetjänst och ladda ner sådana krypterade filer. Hållaren har nu krypterade data på egen maskinvara och kan försöka så många lösenord som de vill ha på fritiden. Om de har tillgång till krypterade data finns det inget sätt att förhindra att de försöker ett stort antal lösenord på kort tid. Även om du använder stark kryptering, är det till din fördel att hålla dina data säkra och se till att andra inte kan komma åt den.
hashing
Starka hashingalgoritmer kan sakta ner brutal force attacker. I huvudsak utför hashingalgoritmer ytterligare matematiskt arbete på ett lösenord innan du lagrar ett värde som härrör från lösenordet på disken. Om en långsammare hashingalgoritm används, kommer det att kräva tusentals gånger lika mycket matematiskt arbete för att prova varje lösenord och dramatiskt sakta ner brutal force attacker. Men desto mer arbete krävs, ju mer arbete en server eller annan dator måste göra varje gång användaren loggar in med sitt lösenord. Programvaran måste balansera motståndskraft mot brutal force attacker med resursanvändning.
Brute-Force Speed
Hastigheten beror allt på maskinvara. Intelligensbyråer kan bygga specialiserad hårdvara bara för brutna våldsattacker, precis som Bitcoin-gruvarbetare bygger egna specialiserade hårdvaror optimerade för Bitcoin-gruvdrift. När det gäller konsumentvaror är den mest effektiva typen av hårdvara för brute-force attacker grafikkort (GPU). Eftersom det är lätt att prova många olika krypteringsnycklar samtidigt, är många grafikkort som går parallellt idealiska.
I slutet av 2012 rapporterade Ars Technica att ett 25-GPU-kluster skulle kunna spricka varje Windows-lösenord under 8 tecken på mindre än sex timmar. Den NTLM-algoritm som Microsoft använde var bara inte fjädrande nog. Men när NTLM skapades skulle det ha gått mycket längre att prova alla dessa lösenord. Detta ansågs inte tillräckligt för ett hot för Microsoft för att göra krypteringen starkare.
Hastigheten ökar och inom några decennier kan vi upptäcka att även de starkaste kryptografiska algoritmerna och krypteringsnycklarna vi använder idag kan snabbt knäckas av kvantdatorer eller vilken annan hårdvara vi använder i framtiden.
Skydda dina data mot brutna våldsattacker
Det finns inget sätt att skydda dig helt. Det är omöjligt att säga hur snabbt datormaskinen kommer att få och om någon av de krypteringsalgoritmer vi använder idag har svagheter som kommer att upptäckas och utnyttjas i framtiden. Men här är grunderna:
- Håll din krypterade data säker där angripare inte kan få tillgång till det. När de har fått dina data kopierade till sin hårdvara kan de försöka brutala våldsattacker mot det på egen hand.
- Om du kör någon tjänst som accepterar inloggningar via Internet, se till att det begränsar inloggningsförsök och blockerar personer som försöker logga in med många olika lösenord på kort tid. Serverprogramvara är vanligtvis inställd på att göra detta ur lådan, eftersom det är en bra säkerhetspraxis.
- Använd starka krypteringsalgoritmer, till exempel SHA-512. Se till att du inte använder gamla krypteringsalgoritmer med kända svagheter som är lätta att knäcka.
- Använd långa, säkra lösenord. All krypteringsteknik i världen kommer inte att hjälpa till om du använder "lösenord" eller den ständigt populära "hunter2".
Brutta våldsattacker är något att oroa sig för när du skyddar dina data, väljer krypteringsalgoritmer och väljer lösenord. De är också en anledning att fortsätta att utveckla starkare kryptografiska algoritmer - kryptering måste hålla fast vid hur snabbt det blir gjort ineffektivt av ny maskinvara.
Bildkredit: Johan Larsson på Flickr, Jeremy Gosney