Trang chủ » làm thế nào để » Tấn công Brute-Force giải thích làm thế nào tất cả mã hóa là dễ bị tổn thương

    Tấn công Brute-Force giải thích làm thế nào tất cả mã hóa là dễ bị tổn thương

    Các cuộc tấn công bằng vũ lực khá đơn giản để hiểu, nhưng khó bảo vệ chống lại. Mã hóa là toán học và khi máy tính trở nên nhanh hơn với toán học, chúng trở nên nhanh hơn trong việc thử tất cả các giải pháp và xem cái nào phù hợp.

    Những cuộc tấn công này có thể được sử dụng để chống lại bất kỳ loại mã hóa nào, với mức độ thành công khác nhau. Các cuộc tấn công bằng vũ lực trở nên nhanh hơn và hiệu quả hơn với mỗi ngày trôi qua khi phần cứng máy tính mới hơn, nhanh hơn được phát hành.

    Khái niệm cơ bản về lực lượng

    Tấn công Brute-force là đơn giản để hiểu. Kẻ tấn công có một tệp được mã hóa - giả sử, cơ sở dữ liệu mật khẩu LastPass hoặc KeePass của bạn. Họ biết rằng tệp này chứa dữ liệu họ muốn xem và họ biết rằng có một khóa mã hóa để mở khóa. Để giải mã nó, họ có thể bắt đầu thử mọi mật khẩu có thể và xem liệu điều đó có dẫn đến một tệp được giải mã không.

    Họ làm điều này tự động với một chương trình máy tính, do đó tốc độ mà ai đó có thể mã hóa mạnh mẽ tăng lên khi phần cứng máy tính có sẵn trở nên nhanh hơn và nhanh hơn, có khả năng thực hiện nhiều phép tính hơn mỗi giây. Cuộc tấn công vũ phu có thể sẽ bắt đầu ở mật khẩu một chữ số trước khi chuyển sang mật khẩu hai chữ số, v.v., thử tất cả các kết hợp có thể cho đến khi một mật khẩu hoạt động.

    Một cuộc tấn công từ điển của Wikipedia là tương tự và thử các từ trong từ điển - hoặc một danh sách các mật khẩu phổ biến - thay vì tất cả các mật khẩu có thể. Điều này có thể rất hiệu quả, vì nhiều người sử dụng mật khẩu yếu và phổ biến như vậy.

    Tại sao những kẻ tấn công không thể Brute-Force Web Services

    Có một sự khác biệt giữa các cuộc tấn công vũ phu trực tuyến và ngoại tuyến. Ví dụ: nếu kẻ tấn công muốn xâm nhập vào tài khoản Gmail của bạn, họ có thể bắt đầu thử mọi mật khẩu có thể - nhưng Google sẽ nhanh chóng cắt chúng đi. Các dịch vụ cung cấp quyền truy cập vào các tài khoản đó sẽ điều tiết các nỗ lực truy cập và cấm các địa chỉ IP cố gắng đăng nhập rất nhiều lần. Do đó, một cuộc tấn công vào một dịch vụ trực tuyến sẽ không hoạt động tốt vì rất ít nỗ lực có thể được thực hiện trước khi cuộc tấn công bị dừng lại.

    Ví dụ: sau một vài lần đăng nhập thất bại, Gmail sẽ hiển thị cho bạn hình ảnh CATPCHA để xác minh bạn không phải là máy tính tự động thử mật khẩu. Họ có thể sẽ dừng hoàn toàn các nỗ lực đăng nhập của bạn nếu bạn quản lý để tiếp tục đủ lâu.

    Mặt khác, giả sử kẻ tấn công đã lấy một tệp được mã hóa từ máy tính của bạn hoặc quản lý để thỏa hiệp một dịch vụ trực tuyến và tải xuống các tệp được mã hóa đó. Kẻ tấn công hiện có dữ liệu được mã hóa trên phần cứng của riêng chúng và có thể thử bao nhiêu mật khẩu tùy thích. Nếu họ có quyền truy cập vào dữ liệu được mã hóa, không có cách nào ngăn họ thử một số lượng lớn mật khẩu trong một khoảng thời gian ngắn. Ngay cả khi bạn đang sử dụng mã hóa mạnh, việc bảo mật dữ liệu của bạn là an toàn và đảm bảo người khác không thể truy cập được.

    Băm

    Các thuật toán băm mạnh có thể làm chậm các cuộc tấn công vũ phu. Về cơ bản, các thuật toán băm thực hiện công việc toán học bổ sung trên mật khẩu trước khi lưu trữ một giá trị xuất phát từ mật khẩu trên đĩa. Nếu sử dụng thuật toán băm chậm hơn, nó sẽ đòi hỏi công việc toán học gấp hàng nghìn lần để thử từng mật khẩu và làm chậm đáng kể các cuộc tấn công vũ phu. Tuy nhiên, càng nhiều công việc cần thiết, máy chủ hoặc máy tính khác phải làm việc nhiều hơn mỗi lần khi người dùng đăng nhập bằng mật khẩu của họ. Phần mềm phải cân bằng khả năng phục hồi chống lại các cuộc tấn công vũ phu với việc sử dụng tài nguyên.

    Tốc độ vũ phu

    Tốc độ tất cả phụ thuộc vào phần cứng. Các cơ quan tình báo có thể xây dựng phần cứng chuyên dụng chỉ cho các cuộc tấn công vũ phu, giống như các công ty khai thác Bitcoin xây dựng phần cứng chuyên dụng của riêng họ được tối ưu hóa cho khai thác Bitcoin. Khi nói đến phần cứng của người tiêu dùng, loại phần cứng hiệu quả nhất cho các cuộc tấn công vũ phu là card đồ họa (GPU). Vì thật dễ dàng để thử nhiều khóa mã hóa khác nhau cùng một lúc, nhiều card đồ họa chạy song song là lý tưởng.

    Vào cuối năm 2012, Ars Technica đã báo cáo rằng cụm 25 GPU có thể phá vỡ mọi mật khẩu Windows dưới 8 ký tự trong vòng chưa đầy sáu giờ. Thuật toán NTLM mà Microsoft sử dụng không đủ khả năng phục hồi. Tuy nhiên, khi NTLM được tạo, sẽ mất nhiều thời gian hơn để thử tất cả các mật khẩu này. Điều này không đủ coi là mối đe dọa đối với Microsoft để làm cho mã hóa mạnh hơn.

    Tốc độ ngày càng tăng, và trong một vài thập kỷ, chúng ta có thể phát hiện ra rằng ngay cả các thuật toán mã hóa và khóa mã hóa mạnh nhất mà chúng ta sử dụng ngày nay cũng có thể bị bẻ khóa nhanh chóng bởi máy tính lượng tử hoặc bất kỳ phần cứng nào khác mà chúng ta đang sử dụng trong tương lai.

    Bảo vệ dữ liệu của bạn khỏi các cuộc tấn công vũ trang

    Không có cách nào để tự bảo vệ mình hoàn toàn. Không thể nói chỉ là phần cứng máy tính sẽ nhận được nhanh như thế nào và liệu bất kỳ thuật toán mã hóa nào chúng ta sử dụng ngày nay có những điểm yếu sẽ được phát hiện và khai thác trong tương lai. Tuy nhiên, đây là những điều cơ bản:

    • Giữ dữ liệu được mã hóa của bạn an toàn nơi những kẻ tấn công không thể truy cập vào nó. Khi họ đã sao chép dữ liệu của bạn vào phần cứng của họ, họ có thể thử các cuộc tấn công vũ phu chống lại dữ liệu đó một cách thoải mái.
    • Nếu bạn chạy bất kỳ dịch vụ nào chấp nhận đăng nhập qua Internet, hãy đảm bảo rằng nó hạn chế các lần thử đăng nhập và chặn những người cố gắng đăng nhập bằng nhiều mật khẩu khác nhau trong một khoảng thời gian ngắn. Phần mềm máy chủ thường được thiết lập để thực hiện việc này vì nó là một cách bảo mật tốt.
    • Sử dụng các thuật toán mã hóa mạnh, chẳng hạn như SHA-512. Đảm bảo bạn không sử dụng các thuật toán mã hóa cũ với các điểm yếu đã biết rất dễ bị bẻ khóa.
    • Sử dụng mật khẩu dài, an toàn. Tất cả các công nghệ mã hóa trên thế giới sẽ không hữu ích nếu bạn đang sử dụng mật khẩu của Cameron, hoặc một trò chơi phổ biến chưa từng có.

    Tấn công bằng vũ lực là điều cần quan tâm khi bảo vệ dữ liệu của bạn, chọn thuật toán mã hóa và chọn mật khẩu. Chúng cũng là một lý do để tiếp tục phát triển các thuật toán mã hóa mạnh hơn - mã hóa phải theo kịp tốc độ của nó được làm cho không hiệu quả bởi phần cứng mới.

    Tín dụng hình ảnh: Johan Larsson trên Flickr, Jeremy Gosney