Internet hacks: ataques de força bruta e como detê-los

[ware_item id=33][/ware_item]

Hacks na Internet


Um ataque de força bruta, também chamado de busca exaustiva por chave, é essencialmente um jogo de adivinhação e pode ser executado contra qualquer tipo de sistema de autenticação.

As chaves de criptografia são particularmente vulneráveis ​​a ataques de força bruta, pois não há maneira fácil de limitar o número de suposições que um invasor pode fazer para decifrá-lo. Portanto, é possível continuar digitando todas as senhas possíveis até que a senha correta seja encontrada.

Códigos numéricos simples

O comprimento e a complexidade de uma senha permitem calcular quantas suposições seriam necessárias para decifrá-la.

Por exemplo, um código de porta típico de quatro dígitos teria 10.000 combinações diferentes, de 0000 a 9999. É fácil calcular que, se as senhas forem inseridas aleatoriamente, o código de porta correto tem 50% de chance de ser adivinhado em 5.000 tentativas.

Embora seja difícil digitar tantas chaves diferentes para um humano, podemos construir um pequeno braço de robô para fazer isso por nós, ou até encontrar uma maneira de inserir os códigos eletronicamente. Se o nosso pequeno braço robótico demorar um segundo para inserir um código, poderemos abrir qualquer porta dentro de 167 minutos - menos de três horas.

proteger contra força brutaLimitando o número de suposições permitidas para uma senha.

Tornando os sistemas mais seguros, limitando o número de suposições

Existem algumas maneiras de tornar a porta mencionada mais segura. Por exemplo, poderíamos permitir apenas três suposições antes que o leitor de código da porta seja trancado dentro de uma caixa que exija uma chave física para abrir. A chance de adivinhar corretamente o código da porta certa seria reduzida para 0,3%, um número suficientemente pequeno para adiar um atacante..

Cartões bancários costumam usar esse mecanismo; após um certo número de tentativas fracassadas, o caixa eletrônico manterá o cartão do usuário.

Os cartões SIM do telefone também costumam permitir apenas um número limitado de suposições de senha, após o que é necessária uma PUK (PIN Unlock Key) por muito mais tempo para acessar o cartão novamente.

A desvantagem disso é o inconveniente. Um sistema de senha secundária tornará inutilizável uma trava de porta, cartão bancário ou telefone por um certo período de tempo. Além disso, se o PUK não for armazenado com segurança, ele poderá representar um risco de segurança totalmente novo.

Um sistema alternativo é permitir apenas um certo número de suposições de senha por minuto. Se você puder apenas destrancar a porta mencionada anteriormente uma vez por minuto, por exemplo, levará 167 horas para abrir a porta. Isso é quase exatamente uma semana, e provavelmente o suficiente para fazer com que um invasor não se incomode em tentar - ou o tempo suficiente para que os legítimos proprietários detectem o ataque.

Nada pode limitar o número de suposições para chaves de criptografia

Porém, limitar tentativas de senha é viável apenas para um dispositivo ou serviço online. Se o invasor tiver acesso a um arquivo criptografado ou tiver interceptado suas comunicações criptografadas, não há nada que possa limitar o número de suposições que eles podem fazer.

A única opção nesses casos é aumentar o comprimento da senha, tornando-a mais segura. Para cada dígito adicionado a uma senha, torna-se dez vezes mais demorado adivinhar. Um código de porta de seis dígitos, por exemplo, levaria quase 12 dias para ser descoberto com um palpite por segundo.

Tornar códigos mais longos tem um custo, no entanto, à medida que se tornam cada vez mais difíceis de lembrar. E quando se trata de pura adivinhação, os computadores podem adivinhar facilmente um bilhão de números por segundo, portanto, os códigos de acesso precisam ser extremamente longos. Uma senha de 18 dígitos levaria mais de um ano para um computador adivinhar, mas você poderia se lembrar de um código tão longo?

A complexidade é tão importante quanto o comprimento

Permitir códigos de acesso mais complexos melhora muito a segurança. Se apenas permitirmos números, haverá apenas dez entradas possíveis por dígito (0-9). Permitir ainda letras minúsculas aumenta para 36 entradas por dígito (0-9, a-z). A adição de letras maiúsculas aumentará para 62 entradas por dígito (0-9, a-z, A-Z).

O uso da tabela Unicode original (o conjunto de caracteres latinos) aumentaria ainda mais todos os dígitos para 95 entradas possíveis. Permitir outros scripts, como árabe ou grego, aumenta rapidamente esse número ainda mais.

Existem mais de 120.000 caracteres, símbolos e emojis no conjunto Unicode atual - todos os quais podem ser usados ​​para uma boa senha. Apenas o uso de dois desses caracteres juntos gera uma senha com mais de 14 bilhões de possibilidades diferentes. A adição de um terceiro faz com que haja um quadrilhão de possibilidades.

Se assumirmos que um computador pode adivinhar um bilhão de senhas por segundo, levaria mais de um milhão de segundos para encontrar uma senha de três caracteres usando o conjunto Unicode - cerca de 12 dias. Tornar as senhas mais complexas é tão poderoso quanto torná-las mais longas, mas elas geralmente são muito mais fáceis de lembrar.

use um gerenciador de senhasOs seres humanos são incapazes de serem aleatórios.

Aleatório é importante, mas os seres humanos são ruins aleatoriamente

Na realidade, as senhas raramente são aleatórias. Os humanos falham sistematicamente ao criar senhas verdadeiramente aleatórias, viabilizando algumas variações do ataque de força bruta.

Por exemplo, podemos escolher palavras populares únicas quando solicitado a criar uma senha, reduzindo bastante a complexidade de nossas senhas. Embora existam 300 milhões de combinações possíveis para uma senha de seis letras, mesmo que apenas permitamos letras minúsculas, os atacantes começarão com as palavras em inglês mais usadas, o que geralmente gera resultados. Tal ataque é chamado de ataque de dicionário.

Um ataque de dicionário geralmente é combinado com o conhecimento das senhas mais usadas. Sabemos a popularidade de determinadas senhas de violações anteriores. A senha 1234, por exemplo, desbloqueia mais de 10% de todos os telefones. As senhas 1111 e 0000, mais 8%.

Dadas três tentativas de quebrar uma senha, em teoria, há 0,3% de quebra da senha, mas, na prática, ela está mais próxima de 18%.

Deve aumentar bastante a complexidade de uma senha quando certas letras são substituídas por caracteres especiais, como "Pa $$ w0rd". No entanto, a maneira pela qual os humanos substituem essas letras é bastante previsível e não adiciona muita aleatoriedade. É fácil adivinhar substituições populares, como e -> 3, um -> @, o -> 0 ou s -> $ e depois verifique esses. Isso geralmente é chamado de substituição de caracteres.

Se um computador ou um invasor tiver a oportunidade de aprender sobre o usuário, poderá reduzir bastante o número de tentativas necessárias para quebrar sua senha. Muitas pessoas adicionam suas datas ou anos de nascimento às senhas. Outros usam o nome de seu cônjuge, filho ou animal de estimação. Alguns podem colocar em maiúscula certos caracteres ou simplesmente incluir o URL do site para o qual eles usam essa senha - coisas que um invasor pode adivinhar com facilidade.

Uma fórmula comum para uma senha é uma palavra que começa com uma letra maiúscula, seguida por um número e termina com um caractere especial, EG Word1111 !. Se um invasor obtiver algum conhecimento de seu alvo, ele poderá usar esse padrão, mas substituir o conteúdo por informações pertinentes à vítima. Isso é chamado verificação de padrões.

A melhor proteção é uma senha forte e aleatória

Limitar o número de tentativas por segundo ou o número total de tentativas antes que uma conta seja bloqueada ajuda bastante a protegê-lo contra ataques de força bruta.

Com as chaves de criptografia, essas limitações não são possíveis; portanto, a melhor maneira de se defender de um ataque de força bruta é usar um gerador aleatório de senhas, como uma ferramenta independente ou como parte de um gerenciador de senhas. Você também pode usar a técnica Diceware.

Internet hacks: ataques de força bruta e como detê-los
admin Author
Sorry! The Author has not filled his profile.