Rå kraft-angrep: passordbeskyttelse

Hva er et rå kraft-angrep?

Et rå kraft-angrep bruker prøving og feiling til å gjette påloggingsinformasjon, krypteringsnøkler eller finne en skjult nettside. Hackere jobber seg gjennom alle mulige kombinasjoner i håp om å gjette riktig.

Disse angrepene gjennomføres med `rå kraft`, noe som betyr at de bruker overdrevent kraftige angrep for å prøve å `tvinge` seg inn på de private kontoen(e) dine.

Dette er en gammel angrepsmetode, men den er fortsatt effektiv og populær hos hackere. Fordi avhengig av lengden og kompleksiteten på passordet, kan det å knekke det ta alt fra et par sekunder til mange år.

Hva tjener hackere på rå kraft-angrep?

Rå kraft-angripere må legge inn litt innsats for å få det til å betale seg. Selv om teknologi gjør det enklere, vil du kanskje likevel lure: hvorfor vil noen gjøre dette?

Slik drar hackere nytte av rå kraft-angrep:

Dra nytte av annonser og innsamling av aktivitetsdata
Stjele personopplysninger og verdisaker
Spre skadelig programvare for å forårsake avbrudd
Kapre systemet ditt for ondsinnet aktivitet
Ødelegge et nettsteds omdømme

Dra nytte av annonser og innsamling av aktivitetsdata.

Hackere kan utnytte et nettsted med andre for å tjene annonseringsprovisjoner. Populære måter å gjøre dette inkluderer:

Å legge inn nettsøppelannonse på en godt besøkt side for å tjene penger hver gang en annonse klikkes på eller vises av besøkende.
Omdirigere en nettsides trafikk til provisjonerte annonsesider.
Infisere en side eller dens besøkende med aktivitetssporende skadelig programvare — ofte kalt spionvare. Data selges til annonsører uten ditt samtykke for å bidra til å forbedre markedsføringen deres.

Stjele personopplysninger og verdisaker.

Å bryte seg inn i nettkontoer kan være som å bryte opp et bankhvelv: alt fra bankkontoer til skatteinformasjon er tilgjengelig på nett. Alt som kreves er det rette innbrudd for at en forbryter skal stjele identiteten din eller pengene dine eller selge din private påloggingsinformasjon med fortjeneste. Noen ganger kan sensitive databaser fra hele organisasjoner eksponeres i datainnbrudd på bedriftsnivå.

Spre skadelig programvare for å forårsake avbrudd bare for moro skyld.

Hvis en hacker vil skape problemer eller trene opp ferdighetene sine, kan vedkommende omdirigere en nettsides trafikk til ondsinnede sider. Alternativt kan hackeren direkte infisere en side med skjult skadelig programvare som installeres på besøkendes datamaskiner.

Kapre systemet ditt for ondsinnet aktivitet.

Når en maskin ikke er nok, tar hackere i bruk en hær av intetanende enheter kalt et botnet for å få fart på innsatsen. Skadelig programvare kan infiltrere datamaskinen, mobilenheten din eller nettkontoer for spamnettfisking, forsterkede rå kraft-angrep og mer. Hvis du ikke har et antivirussystem, kan du stå i større fare for infeksjon.

Ødelegge et nettsteds omdømme.

Hvis du kjører et nettsted og blir et mål for hærverk, kan en nettkriminell velge å infisere siden din med obskønt innhold. Dette kan inkludere tekst, bilder og lyd av en voldelig, pornografisk eller rasemessig støtende art.

Typer rå kraft-angrep

Hvert rå kraft-angrep kan bruke ulike metoder til å avdekke dine sensitive data. Du kan bli eksponert for en hvilken som helst av følgende rå kraft-metoder:

Enkle rå kraft-angrep
Ordbokangrep
Hybride rå kraft-angrep
Omvendte rå kraft-angrep
Credential stuffing

Enkle rå kraft-angrep: hackere prøver å logisk gjette påloggingsinformasjonen din — helt uten hjelp av programvareverktøy eller andre metoder. Disse kan avsløre ekstremt enkle passord og PIN-koder. For eksempel et passord som er angitt som "gjest12345".

Ordbokangrep: i et standardangrep velger en hacker et mål og kjører mulige passord mot det brukernavnet. Disse er kjent som ordbokangrep. Ordbokangrep er det mest grunnleggende verktøyet i rå kraft-angrep. Selv om det ikke nødvendigvis er rå kraft-angrep i seg selv, så brukes disse ofte som en viktig komponent for passordknekking. Enkelte hackere kjører gjennom uforkortede ordbøker og forsterker ord spesialtegn og numeriske tegn eller bruker spesialordbøker, men denne typen sekvensielt angrep er tungvint.

Hybrid rå kraft-angrep: disse hackerne blander ytre metoder med logisk gjetning for å forsøke et innbrudd. Et hybridangrep blander vanligvis ordliste- og rå kraft-angrep. Disse angrepene brukes for å finne ut kombinasjonspassord som blander vanlige ord med tilfeldige tegn. Et eksempel på rå kraft-angrep av denne typen vil inkludere passord som NewYork1993 eller Spike1234.

Omvendte rå kraft-angrep: som navnet antyder reverserer et omvendt rå kraft-angrep angrepsstrategien ved å starte med et kjent passord. Hackere søker deretter millioner av brukernavn til de finner et treff. Mange av disse forbryterne starter med lekkede passord som er tilgjengelige på nett fra eksisterende datainnbrudd.

Credential stuffing: hvis en hacker har en kombinasjon av brukernavn og passord som virker for ett nettsted, vil de prøve det på tonnevis av andre også. Siden brukere har vært kjent for å gjenbruke påloggingsinformasjon på mange nettsteder, er de eksklusive mål for et angrep som dette.

Rå kraft-forsøk ved hjelp av verktøy

Å gjette et passord for en spesifikk bruker eller side kan ta lang tid, så hackere har utviklet verktøy for å gjøre jobben senere.

Automatiserte verktøy hjelper med rå kraft-angrep. Disse bruker hurtiggjetting som er bygget for å lage alle mulige passord og forsøk på å bruke dem. Rå kraft-hackeprogramvare kan finne ett enkelt ordbokordpassord på ett sekund.

Verktøy som disse har feilløsninger programmert i seg for å:

Jobbe mot mange dataprotokoller (som FTP, MySQL, SMPT og Telnet)
La hackere knekke trådløse modem.
Identifisere svake passord
dekryptere passord i kryptert lagring.
Oversette ord til leetspeak — "don`t hackme" blir "d0n7H4cKm3," for eksempel.
Kjøre alle mulige kombinasjoner av tegn.
Betjene ordbokangrep.

Enkelte verktøy skanner forbehandler regnbuetabeller for innmating og utmating av kjente hash-funksjoner. Disse "hash-funksjonene" er de algoritmebaserte krypteringsmetodene brukt for å oversette passord til lange serier av bokstaver og numeriske tegn i fast lengde. Med andre ord fjerner regnbuetabeller den hardeste delen av rå kraft-angrep for å fremskynde prosessen.

GPU-hastigheter rå kraft-angrep

Massevia av datahjernekraft kreves for å kjøre rå kraft-passordprogramvare. Dessverre har hackere funnet maskinvareløsninger for å gjøre denne delen av jobben mye enklere.

Å kombinere CPU og grafikkprosesseringsenhet (GPU) fremskynder databehandlingskraft. Ved å legge til tusenvis av databehandlingskjerner i GPU for behandling, muliggjør dette at systemet kan håndtere flere oppgaver samtidig. GPU-behandling brukes for analyse, teknikk og andre databehandlingsintensive bruksområder. Hackere som bruker denne metoden kan knekke passord ca. 250 ganger raskere enn en CPU alene.

Så hvor lang tid vil det ta å knekke et passord? For å sette det i perspektiv, et passord med seks tegn som inkluderer tall som har ca. to milliarder mulige kombinasjoner. Å knekke det med en kraftig CPU som prøver 30 passord per sekund tar mer enn to år. Å legge til et enkelt, kraftig GPU-kort lar den samme datamaskinen teste 7100 passord per sekund og knekke passordet på 3,5 dager.

Trinn for å beskytte passord for fagpersoner

For å holde deg selv og nettverket ditt trygt bør du ta forholdsregler og hjelpe andre med det samme. Brukeratferds- og nettverkssikkerhetssystemer vil begge trenge forsterkning.

For både IT-spesialister og brukere er det et par generelle råd man bør merke seg:

Bruk et avansert brukernavn og passord. Beskytt deg selv med påloggingsinformasjon som er sterkere enn admin og passord1234 for å holde unna disse angriperne. Jo sterkere denne kombinasjonen er, desto hardere vil det være for alle å knekke det.
Fjern ubrukte kontoer med tillatelser på høyt nivå. Dette tilsvarer dører med svake låser som gjør det lett å bryte seg inn. Kontoer som ikke vedlikeholdes er en sårbarhet du ikke kan risikere. Kast dem bort så snart som mulig.

Når du har det grunnleggende på plass, vil du kunne styrke sikkerheten og få brukere om bord.

Vi vil begynne med hva du kan gjøre på backend og gir deretter tips for trygge vaner.

Passive backendbeskyttelser for passord

Høye krypteringsrater: for å gjøre det vanskeligere for rå kraft-angrep å lykkes bør administratorer sørge for at passord for systemene deres er krypterte med høyest mulige krypteringsrater, som 256-bit kryptering. Jo flere bits det er i krypteringssystemet, desto vanskeligere er passordet å knekke.

Salt hashen: administratorer bør også randomisere passordhash ved å legge til en vilkårlig rekke bokstaver og tall (kalt salt) til selve passordet. Denne strengen bør lagres i en separat database og hentes og legges til passordet før den hashes. Ved å salte hashen har brukere med samme passord ulike hasher.

Tofaktorgodkjenning (2FA): i tillegg kan administratorer kreve totrinnsgodkjenning og installere et inntreningsregistreringssystem som oppdager rå kraft-angrep. Dette krever at brukere følger opp et påloggingsforsøk med en andre faktor, som en fysisk USB-nøkkel eller biometrisk skanning med fingeravtrykk.

Begrens antall nye påloggingsforsøk: å begrense antall forsøk reduserer også tilbøyelighet til rå kraft-angrep. Å tillate tre forsøk på å skrive inn det rette passordet før brukeren låses ute i flere minutter kan føre til betydelige forsinkelser og få hackere til å gå videre til enklere mål.

Kontolåsing etter overdrevne påloggingsforsøk: hvis en hacker kan prøve nye passord i evighet selv etter en midlertidig låsing, kan de gå tilbake for å prøve igjen. Å låse kontoen og be brukeren om å kontakte IT-avdelingen for en opplåsing vil avskrekke denne aktiviteten. Korte låsetimere er mer praktiske for brukere, men komfort kan være en sårbarhet. For å balansere dette kan du vurdere å bruke den langsiktige låsingen hvis det er for mange mislykkede pålogginger etter den korte.

Strupefrekvens for gjentatte pålogginger: du kan ytterligere redusere en angripers innsats ved å lage mellomrom mellom hvert enkelt påloggingsforsøk. Når en pålogging mislykkes, kan en tidtaker nekte pålogging til det har gått kort tid. Dette vil gi forsinkelsestid for sanntidsovervåkingsteamet til å oppdage og jobbe med å stoppe denne trusselen. Enkelte hackere vil kanskje slutte å prøve hvis ventetiden ikke er verdt det.

Påkrevd captcha etter gjentatte påloggingsforsøk: manuell verifisering stopper roboter fra å bruke rå kraft på dataene dine. Captcha kommer i mange typer, inkludert å skrive teksten på et bilde på nytt, krysse av en avmerkingsryte eller identifisere gjenstander på bilder. Uavhengig av hva du bruker, kan du bruke dette før den første påloggingen og etter hvert mislykkede forsøk for ytterligere beskyttelse.

Bruk en IP-svarteliste for å blokkere kjente angripere. Vær sikker på at denne listen konstant oppdateres av de som administrerer den.

Aktive IT-støttebeskyttelser for passord

Passordutdanning: brukeratferd er essensielt for passordsikkerhet. Gi brukere opplæring i anbefalte fremgangsmåter og verktøy for å hjelpe dem med å holde oversikt over passordene sine. Tjenester som Kaspersky Password Manager lar brukere lagre komplekse passord som er vanskelige å huske i et kryptert "hvelv" i stedet for å skrive dem ned på klebrige notater. Siden brukere har en tendens til å sette sikkerheten sin i fare til fordel for komfort, bør du hjelpe dem med praktiske verktøy som vil holde dem trygge.

Følg med på kontoer i sanntid for merkelig aktivitet: merkelige påloggingssteder, for mange påloggingsforsøk, osv. Jobb med å finne trender i uvanlig aktivitet, og fatt tiltak for å blokkere potensielle angripere i sanntid. Se etter IP-adresseblokker, kontolåsing og kontakt brukere for å fastslå om kontoaktivitet er legitim (hvis den ser mistenkelig ut).

Hvordan brukere kan styrke passord mot rå kraft-angrep

Som bruker kan du gjøre mye for å støtte beskyttelsen din i en digital verden. Det beste forsvaret mot passordangrep er å sørge for at passordene dine er så sterke som mulig.

Rå kraft-angrep trenger tid for å knekke passordet ditt. Så målet ditt er å sørge for at passordet ditt reduserer tempoet på disse angrepene så mye som mulig, fordi det tar for lang tid til at innbruddet er verdt det ... de fleste hackere vil gi opp og gå videre.

Her er et par måter du kan styrke passord mot kraftangrep:

Lengre passord med varierte tegntyper. Når det er mulig, bør brukere velge passord med 10 tegn som inkluderer symboler eller numeriske tegn. Å gjøre det skaper 171,3 trillioner (1,71 x 1020) muligheter. Ved å bruke en GPU-prosessor som prøver 10,3 milliarder hasher per sekund vil knekking av passordet ta ca. 526 år. En superdatamaskin kan knekke det på et par uker. Med den logikken vil det å inkludere flere tegn gjøre passordet ditt enda vanskeligere å løse.

Innviklede passfraser. Ikke alle sider aksepterer slike lange passord, som betyr at du bør velge komplekse passfraser heller enn enkeltord. Ordbokangrep er bygget spesifikt for enkeltordfraser og gjøre et sikkerhetsbrudd nesten uanstrengt. Passfraser — passord bestående av flere ord eller segmenter — bør spes på med ekstra tegn og spesielle tegntyper.

Lag regler for å bygge passordene dine. De beste passordene er de du kan huske, men som ikke vil gi mening for andre som leser dem. Når du tar passfraseruten, vurder å bruke forkortede ord, som å erstatte "tre" med "tr" for å lage en streng som bare gir mening for deg. Andre eksempler kan inkludere å droppe vokaler eller å bare bruke de første to bokstavene i hvert ord.

Hold deg ofte ofte brukte passord. Det er viktig å unngå de vanligste passordene og å endre dem ofte.

Bruk unike passord for hver side du bruker. For å unngå å bli offer for credential stuffing bør du aldri bruke et passord på nytt. Hvis du vil ta sikkerheten din et hakk videre, kan du bruke et annet brukernavn for hver side. Du kan unngå at kontoer blir kompromittert hvis en av dine opplever et sikkerhetsbrudd.

Bruk en passordhåndterer. Installering av en passordhåndterer automatiserer opprettelse og oversikt over påloggingsinformasjonen din på nettet. Disse gir deg tilgang til alle kontoene dine ved å først logge på passordhåndtereren. Du kan deretter opprette ekstremt lange og komplekse passord for alle sidene du besøker, lagre dem sikkert, og det eneste du trenger å huske er det ene primærpassordet.

Hvis du lurer på "hvor lang tid tar det å knekke passordet mitt", kan du teste passfrasestyrken din på https://password.kaspersky.com.

Kasperskys Internett-sikkerhetsprogram mottok to AV-TEST-priser for den beste ytelsen og beskyttelsen blant nettsikkerhetsprodukter i 2021. I alle tester viste Kaspersky Internet Security enestående ytelse og beskyttelse mot nettrusler.

Relaterte artikler: