インターネットハッキング:ブルートフォース攻撃とそれらの阻止方法

[ware_item id=33][/ware_item]

インターネットハッキング


徹底的なキー検索とも呼ばれるブルートフォース攻撃は、本質的に推測のゲームであり、あらゆるタイプの認証システムに対して実行できます。.

暗号化キーは、ブルートフォース攻撃に対して特に脆弱です。攻撃者が解読するために推測できる数を簡単に制限する方法がないためです。したがって、正しいパスワードが発生するまで、可能な限りすべてのパスワードを入力し続けることができます.

単純な数値パスコード

パスワードの長さと複雑さにより、解読に必要な推測の数を計算できるようになります.

たとえば、一般的な4桁のドアコードには、0000から9999まで10,000通りの組み合わせがあります。パスワードがランダムに入力された場合、5,000回以内に正しいドアコードが50%の確率で推測されることは簡単に計算できます.

人間のために非常に多くの異なるキーを入力するのは面倒かもしれませんが、私たちのために小さなロボットアームを構築して、電子的にコードを入力する方法を見つけることもできます。コードを入力するのに1秒かかる小さなロボットアームであれば、167分以内(3時間未満)にそのようなドアを開くことができます。.

ブルートフォースから保護するパスワードに許可される推測の数を制限する.

推測の数を制限することによりシステムをより安全にする

前述のドアをより安全にする方法はいくつかあります。たとえば、ドアコードリーダーが、物理的なキーを開く必要があるボックス内にロックされるまで、3回の推測のみを許可できます。正しいドアコードを正しく推測できる可能性は0.3%に削減されます。これは、攻撃者をうまくやるのに十分な数です。.

銀行カードはしばしばこのメカニズムを使用します。試行が一定回数失敗すると、ATMはユーザーのカードを保持します.

また、電話SIMカードでは、限られた数のパスワード推測しか許可されないことが多く、その後、カードに再度アクセスするには、はるかに長いPINアンロックキー(PUK)が必要になります.

これの欠点は不便です。セカンダリパスコードシステムは、一定期間、ドアロック、銀行カード、または電話を使用できなくします。また、PUKが安全に保管されていない場合、まったく新しいセキュリティリスクが生じる可能性があります.

代替システムは、1分あたり特定の数のパスワード推測のみを許可することです。たとえば、前述のドアのロックを1分に1回しか解除できない場合、ドアを開くのに最大167時間かかります。それはほぼ正確に1週間であり、攻撃者が試行することを気にすることなく、または正当な所有者が攻撃を検出するのに十分な長さになる可能性が最も高い.

暗号化キーの推測回数を制限できるものはありません

ただし、パスワード試行の制限は、デバイスまたはオンラインサービスでのみ実行可能です。攻撃者が暗号化されたファイルにアクセスした場合、または攻撃者が暗号化された通信を傍受した場合、推測できる回数を制限できるものは何もありません.

そのような場合の唯一のオプションは、パスコードの長さを増やして、より安全にすることです。パスワードに追加された数字ごとに、推測に10倍の時間がかかります。たとえば、6桁のドアコードは、1秒に1回の推測でクラックするのにほぼ12日かかります.

ただし、パスコードを長くすると、覚えるのが難しくなるため、コストがかかります。また、純粋な推測に関しては、コンピューターは1秒あたり10億個の数字を簡単に推測できるため、パスコードは非常に長くする必要があります。 18桁のパスコードは、コンピューターが推測するのに1年以上かかりますが、?

複雑さは長さと同じくらい重要です

より複雑なパスコードを許可すると、セキュリティが大幅に向上します。数字のみを許可する場合、数字ごとに可能なエントリは10個のみです(0-9)。さらに小文字を許可すると、1桁あたり36エントリ(0〜9、a〜z)になります。大文字を追加すると、1桁あたり62エントリに増加します(0-9、a-z、A-Z).

元のUnicodeテーブル(ラテン文字セット)を使用すると、すべての数字がさらに95エントリまで増加します。アラビア語やギリシャ語などの他のスクリプトを許可すると、この数はさらに急速に増加します.

現在のUnicodeセットには120,000を超える文字、記号、および絵文字があります。これらはすべて、適切なパスワードに使用できます。これらの文字のいずれか2つを一緒に使用するだけで、140億を超えるさまざまな可能性を持つパスワードが生成されます。 3分の1を追加すると、それは1千万の可能性になります.

コンピューターが1秒間に10億個のパスワードを推測できると仮定すると、Unicodeセットを使用して3文字のパスワードを見つけるのに100万秒以上かかります(約12日)。パスワードをより複雑にすることは、パスワードをより長くすることと同じくらい強力ですが、一般的に覚えやすいです。.

パスワードマネージャーを使用する人間はランダムになることができません.

ランダムは重要ですが、人間はランダムに悪いです

実際には、パスワードがランダムになることはほとんどありません。人間は真にランダムなパスワードを体系的に作成することに失敗し、ブルートフォース攻撃のいくつかのバリエーションを実行可能にします.

たとえば、パスワードの作成を求められたときに単一の一般的な単語を選択して、パスワードの複雑さを大幅に減らすことができます。 6文字のパスワードには3億の組み合わせがありますが、小文字のみを許可していても、攻撃者は最も一般的に使用される英語の単語から始めます。このような攻撃は 辞書攻撃.

辞書攻撃は、多くの場合、最も一般的に使用されるパスワードの知識と組み合わされます。以前のパスワード侵害による特定のパスワードの人気を知っています。たとえば、パスワード1234は、すべての電話の10%以上をロック解除します。パスワード1111および 0000, さらに8%.

パスワードを解読しようとする3つの試みを考えると、理論的にはパスワードの解読の0.3%がありますが、実際には18%に近い.

特定の文字を「Pa $$ w0rd」などの特殊文字に置き換えると、パスワードの複雑さが大幅に増加するはずです。ただし、人間がこれらの文字を置き換える方法はかなり予測可能であり、あまりランダムではありません。 eなどの一般的な代替品を推測するのは簡単です -> 3、 -> @、o -> 0またはs -> $、次にこれらを確認します。これはよく呼ばれます 文字置換.

コンピューターまたは攻撃者がユーザーについて知る機会がある場合、パスワードを解読するために必要な試行回数を大幅に減らすことができます。多くの人は、パスワードに生年月日または生年を追加します。他には、配偶者、子供、またはペットの名前を使用します。特定の文字を大文字にしたり、単にそのパスワードを使用するサイトのURLを含めることもあります。攻撃者が簡単に推測できるもの.

パスワードの一般的な式は、大文字で始まり、数字が続き、特殊文字EG Word1111!で終わる単語です。攻撃者がターゲットの知識を得ると、このパターンを使用する可能性がありますが、コンテンツを被害者に関連する情報に置き換えます。これは パターンチェック.

最善の保護は、強力でランダムなパスワードです

1秒あたりの推測数、またはアカウントがロックダウンされる前の推測の総数を制限することは、ブルートフォース攻撃からあなたを保護するのに大いに役立ちます.

暗号化キーではこのような制限は不可能であるため、ブルートフォース攻撃を防ぐ最良の方法は、ランダムパスワードジェネレーターをスタンドアロンツールまたはパスワードマネージャーの一部として使用することです。また、Dicewareテクニックを使用することもできます.

インターネットハッキング:ブルートフォース攻撃とそれらの阻止方法
admin Author
Sorry! The Author has not filled his profile.