Vad är en brute force-attack?
En brute force-attack testar sig fram för att försöka gissa sig till inloggningsinformation, krypteringsnycklar eller hitta en dold webbsida. Hackare arbetar sig igenom alla möjliga kombinationer med förhoppningen att gissa rätt.
Dessa attacker görs med "brutalt våld", vilket innebär att de använder kraftfulla försök att tvinga sig in i dina privata konton.
Det är en gammal metod, men den är fortfarande effektiv och populär bland hackare. Beroende på lösenordets längd och komplexitet kan det ta allt från några sekunder till flera år att knäcka det.
Vad vinner hackare på att använda brute force-attacker?
De som genomför brute force-attacker måste lägga en del kraft på att få dessa trick att betala sig. Även om tekniken gör det enklare kan man ändå fråga sig: varför skulle någon göra detta?
Så här drar hackare nytta av brute force-attacker:
- Profiterar på reklam eller samlar in aktivitetsdata
- Stjäl personuppgifter och värdesaker
- Sprider skadlig programvara för att skapa kaos
- Kapar ditt system för skadlig aktivitet
- Förstör en webbplats rykte
Profitera på reklam eller samla in aktivitetsdata.
Hackare kan exploatera en webbplats tillsammans med andra för att tjäna reklamintäkter. Populära sätt att göra detta inkluderar:
- Lägga in spam-reklam på webbplatser med många besökare för att tjäna pengar varje gång någon klickar på annonsen eller när den visas.
- Omdirigera webbplatsens trafik till reklamwebbplatser med provision.
- Infektera en sajt eller dess besökare med skadlig programvara med aktivitetsspårning — kallas för spionprogram. Data säljs till annonsörer utan ditt medgivande för att hjälpa dem att förbättra sin marknadsföring.
Stjäla personuppgifter och värdesaker.
Att bryta sin in i online-konton kan vara som att ta sig in i ett bankvalv: allt från bankkonton till skatteinformation går att hitta online. Allt som krävs är rätt inbrott för att en brottsling ska stjäla din identitet, dina pengar eller sälja dina privata inloggningsuppgifter med vinst. Ibland kan hela databaser från hela organisationer exponeras för dataintrång på koncernnivå.
Sprida skadlig programvara för att skapa kaos bara för att man kan.
Om en hackare vill skapa problem eller öva på sina färdigheter kan de omdirigera trafiken på en webbplats till skadliga webbplatser. Alternativt kan de infektera en webbplats direkt med dold skadlig programvara som kan installeras på besökarnas datorer.
Kapa ditt system för skadlig aktivitet.
När en maskin inte räcker brukar hackare skapa en armé av aningslösa enheter som kallas botnät för att snabba på sina ansträngningar. Skadlig programvara kan infiltrera din dator, mobila enhet eller dina online-konton för skräppostfiske, utökade brute force-attacker med mera. Om du inte har något virussystem är risken större att din enhet infekteras.
Förstöra en webbplats rykte.
Om du driver en webbplats och blir måltavla för vandalism kan en cyberbrottsling besluta sig för att fylla din webbplats med obscent innehåll. Detta kan inkludera text, bilder och ljud som är stötande på grund av det är våldsamt, pornografiskt eller rasistiskt.
Typer av brute force-attacker
Brute force-attacker kan använda olika metoder för att avslöja dina känsliga uppgifter. Du kan utsättas för någon av följande populära brute force-metoder:
- Enkla brute force-attacker
- Ordboksattacker
- Brute force-hybridattacker
- Omvända brute force-attacker
- Stulen inloggningsattack
Enkla brute force-attacker: hackare försöker att på ett logiskt sätt lista ut dina inläggningsuppgifter, helt utan hjälpa från programvaruverktyg eller andra hjälpmedel. Detta kan avslöja extremt enkla lösenord och PIN-koder. Till exempel ett lösenord som lyder “guest12345”.
Ordboksattacker: i en vanlig attack väljer en hackare ett mål och kör möjliga lösenord mot det användarnamnet. Det här kallas ordboksattack. Ordboksattacker är det mest grundläggande verktyget i brute force-attacker. Även om de i sig själva inte nödvändigtvis är brute force-attacker används dessa ofta som en viktig komponent för att knäcka lösenord. Vissa hackare kör igenom fullständiga ordböcker och utvidgar ord med specialtecken eller siffror, eller använder speciella ordlistor. Men den här typen av sekventiell attack är klumpig.
Brute force-hybridattacker: dessa hackare blandar utomstående hjälpmedel med sina logiska gissningar för att försöka göra intrång. En hybridattack blandar ordboks- och brute force-attacker. Dessa attacker används för att lista ut kombinerade lösenord som blandar vanliga ord med slumpmässiga tecken. Ett exempel på en brute force-attack av denna art kan inkludera lösenord som NewYork1993 eller Spike1234.
Omvända brute force-attacker: precis som namnet antyder vänder en omvänd brute force-attack på anfallsstrategin genom att börja med ett känt lösenord. Sedan söker hackaren igenom miljontals av användarnamn tills denne hittar en träff. Många av dessa brottslingar börjar med lösenord som läckt ut från befintliga dataintrång som finns tillgängliga online.
Stulen inloggningsattack: om en hackare har en kombination av användarnamn och lösenord som fungerar på en webbplats, kommer denne att prova den på tusentals andra också. Eftersom användare ofta har samma inloggningar på flera webbplatser är de exklusiva mål för en attack som denna.
Verktyg för brute force-attacker
Det kan ta lång tid att gissa lösenordet för en viss användare eller webbplats, så hackare har utvecklat verktyg för att göra jobbet snabbare.
Automatiserade verktyg som hjälper till vid brute force-attacker. Dessa använder kulsprutegissningar som är uppbyggda för att skapa alla möjliga lösenord och försöka använda dem. Brute force-hackning kan hitta ett enkelt ordbokslösenord på mindre än en sekund.
Sådana verktyg har lösningar programmerade i sig:
- Arbetar mot många datorprotokoll (som FTP, MySQL, SMPT och Telnet)
- Gör det möjligt att knäcka trådlösa modem.
- Identifierar svaga lösenord
- Dekryptera lösenord i krypterad lagring.
- Översätter ord till leetspeak — "don'thackme" blir till exempel "d0n7H4cKm3,".
- Kör alla möjliga kombinationer av tecken.
- Kör ordboksattacker.
Vissa verktyg skannar förberäknade regnbågstabeller för inmatningar och utmatningar av kända hash-funktioner. Dessa "hash-funktioner" är den algoritmbaserade krypteringsmetoden som används för att översätta lösenord till långa, serier av bokstäver och nummer av fast längd. Med andra ord, regnbågstabeller tar bort den svåraste delen av brute force-attacker för att snabba på processen.
GPU gör brute force-attacker snabbare
Det krävs mängder av datakraft för att köra lösenordsprogrammen i brute force-attacker. Tyvärr har hackarna kommit på lösningar som gör denna del av jobbet mycket lättare.
Kombination av CPU och den grafiska processorenheten (GPU) accelererar databehandlingskraften. Genom att lägga till tusentals databehandlingskärnor i GPU:n kan systemet hantera flera uppgifter samtidigt. GPU-behandling används för analyser, design och andra beräkningsintensiva tillämpningar. Hackare använder den här metoden för att kunna knäcka lösenord cirka 250 gånger snabbare än en ensam CPU.
Så hur lång tid skulle det ta att knäcka ett lösenord? För att sätta det i perspektiv har ett sex tecken långt lösenord som innehåller siffror ungefär 2 miljarder möjliga kombinationer. Att knäcka det med en kraftfull processor som testar 30 lösenord per sekund tar mer än två år. Lägg till ett enda kraftfullt GPU-kort så kan samma dator testa 7 100 lösenord per sekund och knäcka lösenordet på 3,5 dagar.
Steg för att skydda lösenord för proffs
För att du själv och ditt nätverka ska vara säkert behöver du vidta försiktighetsåtgärder och även hjälpa andra att göra det. Både användarbeteendet och säkerhetssystemet för nätverket måste stärkas.
Både IT-specialister och användare behöver ta till sig följande råd:
- Använd ett avancerat användarnamn och lösenord. Skydda dig själv med inloggningsuppgifter som är starkare än admin och password1234 för att hålla dessa angripare borta. Ju starkare denna kombination är, desto svårare blir det för någon att penetrera den.
- Ta bort alla oanvända konton med behörigheter på hög nivå. Dessa är cybermotsvarigheterna till dörrar med dåliga lås som är lätta att bryta sig in i. Konton som inte underhålls är en sårbarhet som du inte kan riskera. Gör dig av med dem så snabbt som möjligt.
När du fått det grundläggande gjort är det dags att bättra på säkerheten och få med dig användarna.
Vi börjar med vad du kan göra i backend, sedan får du tips om hur du kan stötta säkra vanor.
Passiva backend-skydd för lösenord
Hög krypteringsnivå: för att försvåra brute force-attacker bör systemadministratörer se till att lösenorden till deras system är krypterade med högsta möjliga krypteringsnivå, t. ex. 256-bitars kryptering. Ju fler bitar i krypteringsschemat, desto svårare är lösenordet att knäcka.
Salta koden: administratörer bör även slumpa fram lösenordskoder genom att lägga till en sträng med slumpmässiga bokstäver och siffror (så kallat salt) i själva lösenordet. Strängen bör lagras i en separat databas och kan hämtas och läggas till i lösenordet innan kodfunktionen aktiveras. Genom att salta koden kan användare med samma lösenord ha olika koder.
Tvåfaktorsautentisering (2FA): dessutom kan administratörer kräva tvåstegsverifiering och installera ett system för intrångsavkänning som upptäcker brute force-attacker. Detta kräver att användarna följer upp ett inloggningsförsök med en andra faktor, som en fysisk USB-nyckel eller fingeravtryck biometrisk skanning.
Begränsa antalet inloggningsförsök: om du begränsar antalet försök begränsas även mottagligheten för brute force-attacker. Genom att till exempel bara tillåta tre försök att ange rätt lösenord innan användaren spärras i flera minuter drabbas hackarna av avsevärda förseningar och ger sig kanske på ett enklare mål.
Kontot spärras efter för många inloggningsförsök: om en hackare kan fortsätta försöka i all evighet även efter en tillfällig spärrning, kan de komma tillbaka och försöka igen. Om kontot spärras och kräver att användaren kontaktar IT för att låsa upp hindras denna aktivitet. Korta spärrtider är smidigare för användarna, men bekvämlighet kan vara en sårbarhet. Du kan överväga att använda en lång spärrtid om det förekommer flera misslyckade försök efter den korta, för att balansera detta.
Stryp takten för upprepade inloggningar: du kan sakta ner en angripares ansträngningar ytterligare genom att skapa mellanrum mellan varje enskilt inloggningsförsök. När en inloggning misslyckas kan en timer förhindra ny inloggning tills en viss tid har gått. Detta ger extra tid till ditt team som övervakar i realtid för att identifiera och arbeta med att stoppa detta hot. En del hackare kan sluta försöka om det inte är värt väntan.
Obligatorisk Captcha efter upprepade inloggningsförsök: manuell verifiering stoppar robotar från att ta sig in i din data med brute force. Captcha finns i många typer, inklusive att skriva in texten på nytt i en bild, markera en kryssruta eller identifiera föremål på bilder. Oavsett vad du använder kan du använda detta före den första inloggningen och efter varje misslyckat försök som extra skydd.
Använd en IP-lista för att blockera kända angripare. Se till att denna lista uppdateras konstant av de som hanterar den.
Aktivt IT-supportskydd för lösenord
Lösenordsutbildning: användarbeteendet är avgörande för lösenordssäkerheten. Utbilda användarna i säkra förfaranden och verktyg som kan hjälpa dem att hålla koll på sina lösenord. Tjänster som Kaspersky Password Manager gör det möjligt för användare att spara sina komplexa lösenord, som är svåra att komma ihåg, i ett krypterat “valv” istället för att skriva ner dem på osäkra post it-lappar. Eftersom användare tenderar att kompromissa med sin säkerhet för bekvämlighetens skull, se till att hjälpa dem att få tillgång till smidiga verktyg som håller dem säkra.
Övervaka konton i realtid för ovanliga aktiviteter: konstiga inloggningsplatser, för många inloggningsförsök osv. Arbeta för att hitta trender i ovanliga aktiviteter och vidta åtgärder för att blockera alla potentiella angripare i realtid. Håll koll på IP-adressblockeringar, konton som spärras och kontakta användaren för att avgöra om kontoaktiviteten är legitim (om den ser misstänkt ut).
Så här kan användarna stärka lösenorden mot brute force-attacker
Som användare kan du göra mycket för stötta ditt skydd i den digitala världen. Det bästa försvaret mot lösenordsattacker är att säkerställa att dina lösenord är så starka som möjligt.
Brute force-attacker förlitar sig på tid för att knäcka ditt lösenord. Så ditt mål är att se till att ditt lösenord saktar ner dessa attacker så mycket som möjligt, eftersom om det tar för lång tid för att intrånget ska vara värt det … ger de flesta hackare upp och drar vidare.
Här kommer några sätt som du kan stärka dina lösenord mot brute force-attacker:
Längre lösenord med varierade teckentyper. När det går bör användare välja lösenord med 10 tecken som innehåller symboler eller siffror. Detta skapar 171,3 kvintiljoner (1,71 x 1020) möjligheter. Med en GPU-processor som testar 10,3 miljarder hashar per sekund, skulle det ta cirka 526 år att knäcka lösenordet. Men en superdator skulle kunna knäcka det på några veckor. Med denna logik, inklusive fler tecken, blir ditt lösenord ännu svårare att knäcka.
Genomarbetade lösenordsfraser. Alla webbplatser accepterar inte så långa lösenord, vilket innebär att användare bör välja invecklade lösenordsfraser snarare än enstaka ord. Ordboksattacker är uppbyggda specifikt för enstaka ord och gör ett intrång nästan helt utan ansträngning. Lösenordsfraser — lösenord som består av flera ord eller segment — bör fyllas ut med extra tecken och specialtecken.
Skapa regler för hur lösenord byggs upp. De bästa lösenorden är de som du kan komma ihåg men inte är begripliga för någon annan som råkar läsa dem. När du arbetar med lösenordsfraser, överväg att korta ner ord, som att byta ut "wood" mot "wd" för att skapa en sträng som är begriplig bara för dig. Andra exempel kan inkludera att ta bort vokaler eller bara använda de två första bokstäverna i varje ord.
Låt bli att använda vanliga lösenord. Det är viktigt att undvika de vanligaste lösenorden och byta dem ofta.
Använd unika lösenord för varje webbplats du använder. För att undvika att bli offer för attacker med stulna lösenord ska du aldrig återanvända ett lösenord. Om du vill vrida upp säkerheten ett hack kan du även använda olika användarnamn på alla webbplatser. Du kan se till att andra konton inte komprometteras om ett av dem får intrång.
Använd en lösenordshanterare. Om du installerar en lösenordshanterare automatiseras skapande och kollen på din inloggninsinformation. Du får tillgång till inloggning på alla dina konton genom att först logga in på lösenordshanteraren. Du kan sedan skapa extremt långa och invecklade lösenord till alla webbplatser du besöker, förvara dem säkert, och du behöver bara komma ihåg lösenordet till lösenordshanteraren.
Om du undrar “hur lång tid skulle det ta att knäcka mitt lösenord” kan du testa styrkan hos din lösenordsfras på https://password.kaspersky.com.
Kasperskys Internet Security fick två AV-TEST-utmärkelser för bästa prestanda och skydd för en internetsäkerhetsprodukt 2021. I alla tester visade Kasperskys Internet Security enastående prestanda och skydd mot cyberhot.
Relaterade artiklar: