Vad är en brute force-attack?

En brute force-attack är en metod att knäcka ett lösenord eller användarnamn, eller hitta en dold webbsida, eller hitta nyckeln till ett krypterat meddelande, genom upprepade försök där man hoppas att så småningom gissa rätt. Det är en gammal metod, men den är fortfarande effektiv och populär bland hackare.

Beroende på lösenordets längd och komplexitet kan det ta allt från några sekunder till flera år att knäcka det. Faktum är att att vissa hackare riktar in sig på samma system varje dag under flera månader och ibland till och med år.

Verktyg för brute force-attacker

Det kan ta lång tid att gissa lösenordet för en viss användare eller webbplats, så hackare har utvecklat verktyg för att göra jobbet snabbare.

Ordböcker är det mest grundläggande verktyget. Vissa hackare kör igenom fullständiga ordböcker och utvidgar ord med specialtecken eller siffror, eller använder speciella ordlistor. Men den här typen av sekventiell attack är klumpig.

I en vanlig attack väljer en hackare ett mål och kör möjliga lösenord mot det användarnamnet. Det här kallas ordboksattack.

Precis som namnet antyder använder en omvänd brute force-attack en omvänd angreppsstrategi genom att starta med ett känt lösenord – t.ex. lösenord som läckt ut på nätet – och söker bland miljontals användarnamn tills den hittar en matchning.

Det finns även automatiserade verktyg som hjälper till vid brute force-attacker, med namn som Brutus, Medusa, THC Hydra, Ncrack, John the Ripper, Aircrack-ng och Rainbow. Många kan hitta ett enkelt ordbokslösenord på mindre än en sekund.

Verktyg som de här arbetar mot många protokoll (t.ex. FTP, MySQL, SMPT och Telnet) och ger hackare möjlighet att knäcka trådlösa modem, identifiera svaga lösenord, dekryptera lösenord i krypterad lagring, översätta ord till leetspeak (”don'thackme” blir till exempel ”d0n7H4cKm3”), köra alla möjliga kombinationer av tecken och styra ordboksattacker.

Vissa verktyg skannar förberäknade rainbow tables för indata och utdata från kända kodfunktioner – en algoritmbaserad krypteringsmetod som används för att översätta lösenord i långa serier med bokstäver och siffror med fast antal tecken.

GPU gör brute force-attacker snabbare

Genom att kombinera processorn och grafikprocessorn (GPU) ökar datorkraften genom att tusentals processorkärnor läggs till i grafikprocessorn så att datorn kan hantera flera uppgifter samtidigt. GPU-behandling används till analyser, manipulering och andra beräkningsintensiva program, och kan knäcka lösenord ungefär 250 gånger snabbare än med bara en vanlig processor.

För att sätta det i perspektiv har ett sex tecken långt lösenord som innehåller siffror ungefär 2 miljarder möjliga kombinationer. Att knäcka det med en kraftfull processor som testar 30 lösenord per sekund tar mer än två år. Lägg till ett enda kraftfullt GPU-kort så kan samma dator testa 7 100 lösenord per sekund och knäcka lösenordet på 3 1/2 dag.

Åtgärder för IT-specialister för skydd av lösenord

För att försvåra brute force-attacker bör systemadministratörer se till att lösenorden till deras system är krypterade med högsta möjliga krypteringsnivå, t.ex. 256-bitars kryptering. Ju fler bitar i krypteringsschemat, desto svårare är lösenordet att knäcka.

Administratörer bör även salta koden — slumpa fram lösenordskoder genom att lägga till en sträng med slumpmässiga bokstäver och siffror (så kallat salt) i själva lösenordet. Strängen bör lagras i en separat databas och kan hämtas och läggas till i lösenordet innan kodfunktionen aktiveras. Genom att göra det här kan användare med samma lösenord ha olika kod. Dessutom kan administratörer kräva tvåstegsverifiering och installera ett system för intrångsavkänning som upptäcker brute force-attacker.

En begränsning av antalet inloggningsförsök minskar också risken för brute force-attacker. Genom att till exempel bara tillåta tre försök att ange rätt lösenord innan användaren spärras i flera minuter drabbas hackarna av avsevärda förseningar och ger sig kanske på ett enklare mål.

Så här kan användare förstärka sina lösenord

När det går bör användare välja lösenord med 10 tecken som innehåller symboler eller siffror. Det ger 171,3 triljoner (1,71 x 1020 ) möjligheter. Med en GPU-processor som testar 10,3 miljarder koder per sekundtar det ungefär 526 år att knäcka lösenordet, även om en superdator kan knäcka det på några veckor.

Alla webbplatser accepterar inte så långa lösenord, vilket innebär att användare bör välja invecklade lösenordsfraser snarare än enstaka ord. Det är viktigt att undvika de vanligaste lösenorden och byta dem ofta.

Installation av en automatiserar lösenordshanteringen, vilket ger användaren tillgång till alla sina konton genom att först logga in i lösenordshanteraren. Användaren kan sedan skapa extremt långa och invecklade lösenord till alla webbplatser han eller hon besöker, förvara dem säkert, och behöver bara komma ihåg ett lösenord till lösenordshanteraren.

Användare kan besöka https://password.kaspersky.com för att testa styrkan på sin lösenordsfras.

Relaterade artiklar:

• Vad är annonsprogram?
• Vad är en trojan?
• Fakta och vanliga frågor om virus och skadlig programvara
• Skräppost och nätfiske

Relaterade produkter:

• Kaspersky Total Security
• Kaspersky Internet Security
• Kaspersky Antivirus
• Kaspersky Internet Security for Mac
• Kaspersky Internet Security for Android