Hvad er et brute force-angreb?
Et brute force-angreb bruger "trial-and-error" til at gætte loginoplysninger, krypteringsnøgler eller finde en skjult webside. Hackere arbejder sig igennem alle mulige kombinationer i håb om at gætte rigtigt.
Disse angreb udføres med "brute force", hvilket betyder, at de bruger overdrevne kraftfulde forsøg på at "tvinge" sig adgang til din(e) private konto(er).
Det er en gammel angrebsmetode, men den er stadig effektiv og populær blandt hackere. For afhængigt af adgangskoders længde og kompleksitet kan det tage alt fra et par sekunder til mange år at knække det.
Hvad får hackere ud af brute force-angreb?
Brute force-angribere er nødt til at gøre en indsats for at få disse planer til at betale sig. Selvom teknologien gør det lettere, kan du stadig spørge dig selv: Hvorfor skulle nogen gøre det?
Se her, hvordan hackere drager fordel af brute force-angreb:
- Profit fra annoncer eller indsamling af aktivitetsdata
- Stjæler personlige data og værdigenstande
- Spredning af malware for at forårsage forstyrrelser
- Kapring af dit system til ondsindet aktivitet
- Ødelæggelse af en hjemmesides omdømme
Profit fra annoncer eller indsamling af aktivitetsdata.
Hackere kan udnytte en hjemmeside sammen med andre til at tjene reklameprovision. Populære måder at gøre det på er bl.a:
- At placere spam-annoncer på et velbesøgt websted for at tjene penge, hver gang en annonce klikkes på eller ses af besøgende.
- Omdirigering af en hjemmesides trafik til bestilte annoncesider.
- At inficere et websted eller dets besøgende med malware, der sporer aktivitet – typisk spyware. Data sælges til annoncører uden dit samtykke for at hjælpe dem med at forbedre deres markedsføring.
Stjæler personlige data og værdigenstande.
Indbrud i onlinekonti kan være som at åbne en bankboks: alt fra bankkonti til skatteoplysninger kan findes online. Det kræver blot det rette indbrud, før en kriminel kan stjæle din identitet, dine penge eller sælge dine private oplysninger med fortjeneste for øje. Nogle gange kan følsomme databaser fra hele organisationer blive eksponeret på virksomhedsniveau databrud.
Spredning af malware for at skabe forstyrrelser for forstyrrelsens skyld.
Hvis en hacker ønsker at skabe problemer eller øve sine færdigheder, kan han omdirigere en hjemmesides trafik til ondsindede sider. Alternativt kan de direkte inficere et site med skjult malware, som installeres på de besøgendes computere.
Hijacking af dit system til ondsindet aktivitet.
Når en enkelt maskine ikke er nok, hyrer hackerne en hær af intetanende enheder kaldet et botnet for at fremskynde deres indsats. Malware kan infiltrere din computer, mobilenhed eller onlinekonti til spam-phishing, forbedrede brute force-angreb og meget mere. Hvis du ikke har et antivirussystem, kan du være mere udsat for infektion.
Skader på en hjemmesides omdømme.
Hvis du driver en hjemmeside og bliver udsat for hærværk, kan en cyberkriminel beslutte at inficere din side med uanstændigt indhold. Dette kan omfatte tekst, billeder og lyd af voldelig, pornografisk eller racistisk karakter.
Typer af brute force-angreb
Hvert brute force-angreb kan bruge forskellige metoder til at afsløre dine følsomme data. Du kan blive udsat for en af følgende populære brute force-metoder:
- Simple brute force-angreb
- Ordbogsangreb (dictionary attacks)
- Hybrid brute force-angreb
- Omvendt brute force-angreb
- Udfyldning af logins
Simple brute force-angreb: hackere forsøger logisk at gætte dine legitimationsoplysninger – helt uden hjælp fra softwareværktøjer eller andre midler. De kan afsløre meget simple adgangskoder og pinkoder. For eksempel kan en adgangskode, der er angivet som “guest12345”.
Ordbogsangreb: i et standardangreb vælger en hacker et mål og sammenligner mulige adgangskoder med det brugernavn. Disse kaldes ordbogsangreb. Ordbogsangreb er det mest grundlæggende værktøj i brute force-angreb. Selvom de ikke nødvendigvis er brute force-angreb i sig selv, bruges de ofte som en vigtig komponent til at knække adgangskoder. Nogle hackere går gennem uforkortede ordbøger og forstærker ord med specialtegn og tal eller bruger særlige ordbøger af ord, men denne type sekventielle angreb er besværlige.
Hybrid brute force-angreb: disse hackere blander udefrakommende midler med deres logiske gæt for at forsøge et indbrud. Et hybridangreb er normalt en blanding af ordbogs- og brute force-angreb. Disse angreb bruges til at udregne kombinationsadgangskoder, der blander almindelige ord med tilfældige tegn. Et eksempel på et brute force-angreb af denne art ville omfatte adgangskoder såsom NewYork1993 eller Spike1234.
Omvendt brute force-angreb: ligesom navnet antyder, vender et omvendt brute force-angreb angrebsstrategien om ved at starte med en kendt adgangskode. Derefter søger hackerne i millioner af brugernavne, indtil de finder et match. Mange af disse kriminelle starter med lækkede adgangskoder, der er tilgængelige online fra eksisterende databrud.
Udfyldning af logins: hvis en hacker har en brugernavn-adgangskode-kombination, der virker på én hjemmeside, vil de også prøve den på mange andre. Da brugere er kendt for at genbruge loginoplysninger på tværs af mange hjemmesider, er de de eksklusive mål for et angreb som dette.
Værktøjer hjælper brute borce-forsøg.
Det kan tage lang tid at gætte en adgangskode til en bestemt bruger eller et bestemt websted, så hackere har udviklet værktøjer til at gøre arbejdet hurtigere.
Automatiserede værktøjer hjælper med brute force-angreb. Disse bruger hurtige gæt, der er lavet til at skabe alle mulige adgangskoder og forsøge at bruge dem. Brute force-hacking-software kan finde en adgangskode med et enkelt ord i ordbogen på et sekund.
Værktøjer som disse har workarounds programmeret i dem:
- Virker mod mange computerprotokoller (som FTP, MySQL, SMPT og Telnet)
- Gør det muligt for hackere at knække trådløse modemmer.
- Identificer svage adgangskoder
- Dekrypter adgangskoder i krypteret lager.
- Oversæt ord til leetspeak – "don'thackme" bliver for eksempel til "d0n7H4cKm3".
- Kør alle mulige kombinationer af tegn.
- Udførsel af ordbogsangreb.
Nogle værktøjer scanner forudberegnede regnbuetabeller for input og output af kendte hashfunktioner. Disse "hashfunktioner" er de algoritmebaserede krypteringsmetoder, der bruges til at oversætte adgangskoder til lange serier af bogstaver og tal med fast længde. Med andre ord fjerner regnbuetabeller den sværeste del af brute force-angreb for at fremskynde processen.
GPU gør brute force-forsøg hurtigere
Det kræver masser af computerhjernekraft at køre brute force adgangskode-software. Desværre har hackere udviklet hardwareløsninger, der gør denne del af arbejdet meget lettere.
Kombination af CPU og grafikbehandlingsenhed (GPU) accelererer computerkraften. Ved at tilføje de tusindvis af computerkerner i GPU'en til behandling, gør det systemet i stand til at håndtere flere opgaver på én gang. GPU-behandling bruges til analyse, teknik og andre computerintensive applikationer. Hackere, der bruger denne metode, kan knække adgangskoder omkring 250 gange hurtigere end en CPU alene.
Så hvor lang tid ville det tage at knække en adgangskode? For at sætte tingene i perspektiv har en sekscifret adgangskode, der indeholder tal, ca. 2 mia. mulige kombinationer. At bryde den med en kraftfuld CPU, der forsøger 30 adgangskoder pr. sekund, vil tage mere end to år. Ved at tilføje et enkelt, kraftigt GPU-kort kan den samme computer teste 7.100 adgangskoder pr. sekund og knække adgangskoden på 3,5 dage.
Trin til beskyttelse af adgangskoder for professionelle
For at holde dig selv og dit netværk sikkert, bør du tage dine forholdsregler og hjælpe andre med at gøre det samme. Både brugeradfærd og netværkssikkerhedssystemer skal styrkes.
For både IT-specialister og brugere er det en god idé at tage et par generelle råd til sig:
- Brug et avanceret/svært brugernavn og adgangskode. Beskyt dig selv med legitimationsoplysninger, der er stærkere end admin og password1234 for at holde disse angribere ude. Jo stærkere denne kombination er, jo sværere vil det være for nogen at trænge igennem den.
- Fjern alle ubrugte konti med tilladelser på højt niveau. De svarer til cyberdøre med svage låse, der gør det nemt at bryde ind. Uvedligeholdte konti er en sårbarhed, du ikke kan risikere. Smid dem væk så hurtigt som muligt.
Når du har styr på det grundlæggende, vil du gerne styrke din sikkerhed og få brugere ombord.
Vi begynder med, hvad du kan gøre på backend, og giver derefter tips til at understøtte sikre vaner.
Passiv backend-beskyttelse af adgangskoder
Høje krypteringshastigheder: for at gøre det sværere for brute force-angreb at lykkes, bør systemadministratorer sikre, at adgangskoder til deres systemer er krypteret med de højest mulige krypteringshastigheder, såsom 256-bit-kryptering. Jo flere bit i krypteringsplanen, desto sværere er det at bryde adgangskoden.
"Salt" hashen: administratorer bør også randomisere adgangskode-hashes ved at tilføje en tilfældig streng af bogstaver og tal (kaldet salt) til selve adgangskoden. Denne streng skal opbevares i en separat database og hentes og lægges til adgangskoden, før den hash-kodes. Ved at salte/sværgøre hashen har brugere med samme adgangskode forskellige hashes.
To-faktor-godkendelse (2FA): derudover kan administratorer kræve totrinsgodkendelse og installere et intrusion detection system, der opdager brute force-angreb. Det kræver, at brugerne følger op på et loginforsøg med en anden faktor, f.eks. en fysisk USB-nøgle eller biometrisk fingeraftryksscan.
Begræns antallet af login-genforsøg: begrænsning af antallet af forsøg reducerer også modtageligheden for brute-force-angreb. Hvis man f.eks. tillader tre forsøg på at indtaste den korrekte adgangskode, før man låser brugeren ude i flere minutter, kan det forårsage betydelige forsinkelser og få hackere til at gå videre til lettere mål.
Låsning af konto efter for mange loginforsøg: hvis en hacker i det uendelige kan blive ved med at prøve adgangskoder igen, selv efter en midlertidig lockout, kan de vende tilbage og prøve igen. At låse kontoen og kræve, at brugeren kontakter IT for at få den låst op, vil forhindre denne aktivitet. Korte lockout-timere er mere bekvemme for brugerne, men bekvemmelighed kan også være en sårbarhed. For at afbalancere dette kan du overveje at bruge den langsigtede lockdown, hvis der er for mange mislykkede logins efter den korte.
Begræns antallet af gentagne logins: Du kan yderligere bremse en angribers indsats ved at skabe plads mellem hvert enkelt login-forsøg. Når et login mislykkes, kan en timer nægte login, indtil der er gået en kort tid. Det vil give dit realtidsovervågningsteam tid til at opdage og arbejde på at stoppe denne trussel. Nogle hackere holder måske op med at prøve, hvis ventetiden ikke er det værd.
Påkrævet Captcha efter gentagne loginforsøg: manuel verifikation forhindrer robotter i at tvinge sig vej ind i dine data. Captcha findes i mange typer, herunder at genindtaste teksten i et billede, afkrydse et afkrydsningsfelt eller identificere objekter i billeder. Uanset hvad du bruger, kan du bruge dette før det første login og efter hvert mislykket forsøg på at beskytte yderligere.
Brug en IP-afvisningsliste til at blokere kendte angribere. Sørg for, at listen hele tiden bliver opdateret af dem, der administrerer den.
Aktiv it-support til beskyttelse af adgangskoder
Uddannelse i adgangskoder: brugeradfærd er afgørende for adgangskode-sikkerhed. Uddan brugerne i sikker praksis og værktøjer, der hjælper dem med at holde styr på deres adgangskoder. Tjenester som Kaspersky Password Manager giver brugerne mulighed for at gemme deres komplekse adgangskoder, der er svære at huske, i en krypteret "hvælving" i stedet for at skrive dem ned på klistermærker. Da brugerne har en tendens til at gå på kompromis med deres sikkerhed for nemheds skyld, skal du sørge for at hjælpe dem med at få praktiske værktøjer i hænderne, der holder dem sikre.
Overvåg konti i realtid for mærkelig aktivitet: Mærkelige login-placeringer, overdrevne login-forsøg osv. Arbejd på at finde tendenser i usædvanlig aktivitet, og træf foranstaltninger til at blokere potentielle angribere i realtid. Hold øje med blokeringer af IP-adresser, låsning af konti, og kontakt brugere for at afgøre, om kontoaktiviteten er legitim (hvis den ser mistænkelig ud).
Hvordan brugere kan styrke adgangskoder mod brute force-angreb
Som bruger kan du gøre meget for at støtte din beskyttelse i den digitale verden. Det bedste forsvar mod adgangskodeangreb er at sikre, at dine adgangskoder er så stærke, som de kan være.
Brute force-angreb er afhængige af tid for at knække din adgangskode. Så dit mål er at sørge for, at din adgangskode bremser disse angreb så meget som muligt, for hvis det tager for lang tid, før det kan betale sig at bryde ind ... vil de fleste hackere give op og komme videre.
Her er et par måder, hvorpå du kan styrke adgangskoder mod brute-angreb:
Længere adgangskoder med forskellige tegntyper. Når det er muligt, bør brugerne vælge adgangskoder på 10 tegn, der indeholder symboler eller tal. Det skaber 171,3 kvintillioner (1,71 x 1020) muligheder. Brug af en GPU-processor, der forsøger 10,3 milliarder hashes pr. sekund, og det ville tage cirka 526 år at knække kodeordet. Men en supercomputer kan knække den i løbet af et par uger. Med denne logik gør flere tegn din adgangskode endnu sværere at gennemskue.
Lange passphrases. Ikke alle sider accepterer så lange adgangskoder, hvilket betyder, at du bør vælge komplekse adgangskoder i stedet for enkelte ord. Ordbogsangreb er bygget specifikt til enkeltordssætninger og gør det næsten ubesværet at bryde ind. Passphrases – adgangskoder, der består af flere ord eller segmente, bør "krydres" med ekstra tegn og specialtegn.
Lav regler for, hvordan du opbygger dine adgangskoder. De bedste adgangskoder er dem, du kan huske, men som ikke giver mening for andre, der læser dem. Når du vælger passphrase-vejen, kan du overveje at bruge afkortede ord, som at erstatte "wood" med "wd" for at skabe en streng, der kun giver mening for dig. Andre eksempler kan være at udelade vokaler eller kun bruge de to første bogstaver i hvert ord.
Hold dig fra ofte brugte adgangskoder. Det er vigtigt at undgå de mest almindelige adgangskoder og skifte dem jævnligt.
Brug unikke adgangskoder til alle de sider, du bruger. For at undgå at blive offer for "credential stuffing" (udfyldelse af logins), bør du aldrig genbruge en adgangskode. Hvis du vil tage din sikkerhed et skridt op, skal du også bruge et andet brugernavn til hver side. Du kan forhindre, at andre konti bliver kompromitteret, hvis en af dine bliver brudt.
Brug en adgangskodeadministrator. Ved at installere en adgangskodeadministrator kan du automatisk oprette og holde styr på dine online loginoplysninger. Disse giver dig adgang til alle dine konti ved først at logge ind på adgangskodeadministratoren. Så kan du oprette ekstremt lange og komplekse adgangskoder til alle de websteder, du besøger, gemme dem sikkert, og du behøver kun at huske den ene primære adgangskode.
Hvis du undrer dig over, "hvor lang tid det vil tage at knække min adgangskode", kan du teste adgangssætningens styrke på .
Kaspersky Internet Security modtog to AV-TEST-priser for den bedste ydeevne og beskyttelse for et internetsikkerhedsprodukt i 2021. I alle tests viste Kaspersky Internet Security fremragende ydeevne og beskyttelse mod cybertrusler.
Relaterede artikler: