דף הבית » איך ל » התקפות כוח הזרוע הסביר כיצד כל הצפנה פגיע

    התקפות כוח הזרוע הסביר כיצד כל הצפנה פגיע

    התקפות כוח הזרוע הן פשוטות למדי להבנה, אך קשה להגן עליהן. הצפנה היא מתמטיקה, וככל שהמחשבים הופכים למהירים יותר במתמטיקה, הם הופכים מהר יותר כאשר מנסים את כל הפתרונות ולראות איזה מהם מתאים.

    התקפות אלה יכולות לשמש נגד כל סוג של הצפנה, עם דרגות שונות של הצלחה. התקפות כוח הזרוע הופכות להיות מהירות ויעילות יותר עם כל יום שעובר כמו חומרה חדשה יותר ומהירה יותר במחשב.

    יסודות כוח הזרוע

    התקפות כוח הזרוע הן פשוטות להבנה. לתוקף יש קובץ מוצפן - לדוגמה, מסד הנתונים של הסיסמה LastPass או KeePass. הם יודעים שקובץ זה מכיל נתונים שהם רוצים לראות, והם יודעים שיש מפתח הצפנה שפותח אותו. כדי לפענח את זה, הם יכולים להתחיל לנסות את כל הסיסמאות האפשריות ולראות אם זה גורם לקובץ מפוענח.

    הם עושים זאת באופן אוטומטי עם תוכנית מחשב, ולכן המהירות שבה מישהו יכול להצפין כוח הזרוע גדל כמו חומרת המחשב זמין הופך מהר יותר ויותר, מסוגל לעשות יותר חישובים לשנייה. ההתקפה בכוח הזרוע תתחיל בסיסמאות חד-ספרתיות לפני שתעבור לשתי סיסמאות דו-ספריות וכן הלאה, ותנסה את כל השילובים האפשריים עד שיצליח.

    "התקפת מילון" דומה ומנסה מילים במילון - או רשימה של סיסמאות נפוצות - במקום בכל הסיסמאות האפשריות. זה יכול להיות יעיל מאוד, כמו אנשים רבים משתמשים בסיסמאות חלשות ו נפוצות כאלה.

    למה התוקפים לא יכולים כוח הזרוע שירותי אינטרנט

    יש הבדל בין תקיפה של כוח ברוטו מקוון או לא מקוון. לדוגמה, אם תוקף רוצה לחדור בכוח אל תוך חשבון ה- Gmail שלך, הוא יכול להתחיל לנסות כל סיסמה אפשרית אחת - אך Google תנתק אותם במהירות. שירותים המספקים גישה לחשבונות כאלו יגרמו לניסיונות גישה ולאסור על כתובות IP המנסות להיכנס פעמים רבות כל כך. לפיכך, התקפה נגד שירות מקוון לא יעבוד טוב מדי, כי מעט מאוד ניסיונות ניתן לבצע לפני הפיגוע יופסק.

    לדוגמה, לאחר מספר ניסיונות כניסה שנכשלו, Gmail יציג בפניך תמונת CATPCHA כדי לוודא שאינך מחשב שמנסה סיסמאות באופן אוטומטי. סביר להניח שהם יפסיקו את ניסיונות הכניסה שלך לחלוטין אם תצליח להימשך מספיק זמן.

    מצד שני, נניח שתוקף חטף קובץ מוצפן מהמחשב שלך או הצליח להתפשר על שירות מקוון ולהוריד קבצים מוצפנים כאלה. התוקף עכשיו יש את הנתונים המוצפנים על החומרה שלהם יכול לנסות כמו סיסמאות רבות כפי שהם רוצים בשעות הפנאי שלהם. אם יש להם גישה לנתונים המוצפנים, אין דרך למנוע מהם לנסות מספר רב של סיסמאות בפרק זמן קצר. גם אם אתה משתמש בהצפנה חזקה, זה לטובתך כדי לשמור על הנתונים שלך בטוח ולוודא שאחרים לא יכולים לגשת אליו.

    חבטות

    אלגוריתמים hashing חזק יכול להאט התקפות כוח הזרוע. בעיקרו של דבר, אלגוריתמים hashing לבצע עבודה מתמטית נוספת על הסיסמה לפני אחסון ערך נגזר הסיסמה בדיסק. אם נעשה שימוש באלגוריתם hashing איטי יותר, הוא ידרוש אלפי פעמים עבודה מתמטית כדי לנסות כל סיסמה ולהאט באופן דרמטי את התקפות כוח הזרוע. עם זאת, ככל העבודה נדרש יותר, יותר עבודה שרת או מחשב אחר צריך לעשות בכל פעם כמו משתמש נכנס עם הסיסמה שלהם. התוכנה חייבת לאזן עמידות נגד התקפות כוח הזרוע עם השימוש במשאבים.

    מהירות כוח הזרוע

    מהירות הכל תלוי בחומרה. סוכנויות המודיעין יכולות לבנות חומרה מיוחדת רק עבור התקפות כוח הזרוע, בדיוק כמו כורי Bitcoin לבנות חומרה מיוחדת שלהם אופטימיזציה עבור כריית Bitcoin. כשזה מגיע לחומרה הצרכן, את סוג יעיל ביותר של חומרה עבור התקפות כוח הזרוע הוא כרטיס גרפי (GPU). כמו זה קל לנסות הרבה מפתחות הצפנה שונים בבת אחת, כרטיסי גרפיקה רבים הפועלים במקביל הם אידיאליים.

    בסוף 2012, Ars Technica דיווח כי אשכול 25-GPU יכול לפצח כל סיסמת Windows תחת 8 תווים תוך פחות משש שעות. אלגוריתם NTLM שבו השתמשה מיקרוסופט לא היה גמיש מספיק. עם זאת, כאשר NTLM נוצר, זה היה לוקח הרבה יותר זמן כדי לנסות את כל הסיסמאות. זה לא נחשב מספיק איום עבור מיקרוסופט כדי להפוך את הצפנה חזקה.

    המהירות גדלה, ובעוד כמה עשורים אנו מגלים כי אפילו האלגוריתמים הקריפטוגרפיים החזקים ביותר ומפתחות ההצפנה שאנו משתמשים בהם כיום יכולים להיסדקר במהירות על ידי מחשבים קוונטיים או כל חומרה אחרת שאנו משתמשים בה בעתיד.

    הגנה על הנתונים שלך מפני התקפות כוח הזרוע

    אין שום דרך להגן על עצמך לחלוטין. זה בלתי אפשרי לומר בדיוק כמה מהר המחשב יגיע חומרה ואם כל האלגוריתמים הצפנה אנו משתמשים כיום יש חולשות כי יתגלו וניצלו בעתיד. עם זאת, הנה את היסודות:

    • שמור את הנתונים המוצפנים שלך בטוחים כאשר התוקפים אינם יכולים לגשת אליה. ברגע שיש להם את הנתונים מועתקים החומרה שלהם, הם יכולים לנסות בכוח הזרוע ההתקפות נגדה בשעות הפנאי שלהם.
    • אם אתה מפעיל כל שירות שמקבל כניסות דרך האינטרנט, ודא שהוא מגביל ניסיונות התחברות וחוסם אנשים שמנסים להתחבר עם סיסמאות רבות ושונות בפרק זמן קצר. תוכנת השרת מוגדר בדרך כלל לעשות את זה מחוץ לקופסה, כפי שהוא נוהג אבטחה טוב.
    • השתמש באלגוריתמים חזקים של הצפנה, כגון SHA-512. ודא שאתה לא משתמש באלגוריתמים הצפנה ישנים עם חולשות ידועות כי הם קל לפצח.
    • השתמש בסיסמאות ארוכות ובטוחות. כל טכנולוגיית ההצפנה בעולם לא תעזור אם אתה משתמש ב'סיסמה 'או ​​ב'צייד 2'.

    התקפות כוח הזרוע הן משהו שיש לדאוג לגבי ההגנה על הנתונים, בחירת אלגוריתמים של הצפנה ובחירת סיסמאות. הם גם סיבה להמשיך לפתח אלגוריתמים קריפטוגרפיים חזקים יותר - הצפנה צריכה לעמוד בקצב של כמה מהר זה הופך להיות יעיל על ידי חומרה חדשה.

    קרדיט תמונה: יוהן לרסון על Flickr, ג 'רמי גוסני