Как защитить свои пароли от брутфорс-атак

Что такое брутфорс-атака?

Брутфорс-атака – это попытка злоумышленников путем проб и ошибок угадать логины и пароли, ключи шифрования или найти скрытую веб-страницу. Чтобы найти правильное сочетание, хакеры перебирают все возможные комбинации.

Такие атаки получили название брутфорс (англ. brute force – грубая сила), поскольку злоумышленники буквально силой пытаются взломать замки к вашим личным аккаунтам.

Этот метод не нов, но по-прежнему эффективен и популярен среди хакеров. На то, чтобы взломать пароль, может уйти от нескольких секунд до нескольких лет, в зависимости от его длины и сложности.

Какую выгоду получают хакеры в результате брутфорс-атак?

Взломщикам паролей приходится потрудиться, чтобы их усилия окупились. И хотя современные технологии сильно облегчают им работу, все равно может возникнуть вопрос: «А зачем кому-то этим заниматься?»

Вот какие возможности открываются перед хакерами в результате брутфорс-атак:

рассылка рекламы или сбор данных об активности пользователей с целью получения прибыли;
кража персональных данных пользователей и ценных активов;
распространение вредоносных программ с целью нанесения ущерба;
проникновение в системы для осуществления вредоносной деятельности;
уничтожение репутации веб-сайтов.

Рассылка рекламы или сбор данных об активности пользователей с целью получения прибыли

Злоумышленники могут использовать веб-сайты в своих целях, в том числе для получения комиссионных отчислений от рекламы. Вот типичные способы:

размещение рекламного спама на сайте с хорошим трафиком для получения прибыли от каждого клика или просмотра;
перенаправление трафика на рекламные сайты за комиссионное вознаграждение;
инфицирование веб-сайта или его посетителей трекерами активности (обычно шпионским ПО) для несанкционированной продажи данных рекламодателям в маркетинговых целях.

Кража персональных данных пользователей и ценных активов

Взлом онлайн-аккаунтов можно сравнить со взломом банковской ячейки. Там можно найти все: от информации о банковских счетах до налоговой информации. Преступнику достаточно одного удачного взлома, чтобы украсть ваши деньги, идентификационные данные или выгодно продать вашу конфиденциальную информацию. Иногда в результате корпоративных утечек в сети оказываются конфиденциальные базы данных целых организаций.

Распространение вредоносных программ с целью причинения ущерба

Если хакеры хотят создать кому-либо проблемы или просто попрактиковаться, они могут перенаправить трафик с какого-либо веб-сайта на другие, вредоносные сайты. В других случаях они могут инфицировать веб-сайт вредоносным ПО, которое будет незаметно загружаться на компьютеры посетителей.

Проникновение в системы для осуществления вредоносной деятельности

Когда хакерам недостаточно мощности одного компьютера, для ускорения работы они могут привлечь к своей деятельности целую армию устройств без ведома их владельцев. Это называется ботнетом. Хакеры могут заразить ваш компьютер, мобильное устройство или онлайн-аккаунт вредоносным ПО для рассылки спама, фишинга, усиленных брутфорс-атак и многого другого. Если у вас не установлено антивирусное программное обеспечение, вы больше рискуете заполучить на ваше устройство вредоносное ПО.

Уничтожение репутации веб-сайтов

Если вы владелец веб-сайта и стали мишенью для кибервандалов, они могут заразить ваш сайт недопустимым контентом. Это могут быть тексты, изображения и аудиозаписи, содержащие элементы насилия, порнографии или расизма.

Виды брутфорс-атак

Злоумышленники могут использовать различные виды брутфорс-атак для получения доступа к вашей конфиденциальной информации. Вот наиболее распространенные виды брутфорс-атак, которым вы можете подвергнуться:

простая брутфорс-атака;
атака методом перебора;
гибридная брутфорс-атака;
обратная брутфорс-атака;
подстановка учетных данных.

Простая брутфорс-атака. Хакеры пытаются угадать ваши данные для авторизации логическим путем, без использования специальных программ или других технических средств. Так можно подобрать только самые простые пароли и PIN-коды. Например, такие как guest12345.

Атака методом перебора. При стандартной атаке хакер выбирает жертву и перебирает все возможные пароли в комбинации с ее именем пользователя. Это называется методом перебора. Атаки методом перебора являются базовым инструментом в арсенале брутфорс-атак. Даже если сами они не являются в чистом виде брутфорс-атаками, их часто используют как важный компонент в процессе взлома пароля. Некоторые хакеры используют для атаки большой орфографический словарь и добавляют к словам цифры и специальные символы. Иногда используют специализированные словари. В любом случае этот тип атаки с последовательным перебором довольно трудоемок.

Гибридная брутфорс-атака. В этом случае хакеры используют как внешние средства, так и собственную логику, чтобы взломать пароль. Гибридная атака – это комбинация атаки методом подбора и брутфорс-атаки. Такие атаки используются для подбора комбинированных паролей, состоящих из обычных слов и случайных символов. Таким образом можно подобрать такие пароли, как NewYork1993 или Spike1234.

Обратная брутфорс-атака. Как и следует из названия, хакеры разворачивают стратегию в обратном направлении и начинают поиск совпадения с уже известного пароля. Они комбинируют известный пароль с миллионами имен пользователей, пока не найдут правильное сочетание. Многие злоумышленники используют пароли, которые были слиты в интернет в результате случившихся ранее утечек данных.

Подстановка учетных данных. Если у хакеров есть комбинация имени пользователя и пароля, которая работает хотя бы на одном веб-сайте, они попытаются зайти с ее помощью на тысячи других сайтов. Поскольку люди склонны использовать одну и ту же комбинацию логина и пароля на разных сайтах, они становятся прекрасной мишенью для подобной атаки.

Инструменты для брутфорс-атак

Угадать пароль конкретного пользователя к конкретному сайту – задача небыстрая, поэтому хакеры создали инструменты для ускорения своей работы.

Автоматизированные инструменты помогают в осуществлении брутфорс-атак. Они основаны на методе быстрого перебора, с помощью которого создаются и проверяются все возможные пароли. Брутфорс-алгоритмы могут подобрать пароль, состоящий из одного словарного слова, всего за секунду.

В эти инструменты встроены решения, которые позволяют делать следующее:

противодействовать многим сетевым протоколам (таким как FTP, MySQL, SMPT и Telnet);
взламывать беспроводные модемы;
идентифицировать слабые пароли;
расшифровывать пароли, хранящиеся в зашифрованных хранилищах;
преобразовывать слова в литспик (к примеру, don'thackme – в d0n7H4cKm3);
перебирать все возможные комбинации символов;
проводить атаки по словарю.

Некоторые инструменты сканируют предрассчитанные радужные таблицы на входы и выходы известных хеш-функций. Хеш-функции – это алгоритмические методы шифрования, которые используются для преобразования паролей в длинные серии букв и цифр с фиксированной длиной. Другими словами, использование радужных таблиц устраняет самую сложную часть брутфорс-атаки и значительно ускоряет процесс.

Ускорение брутфорс-атаки с помощью графического процессора (GPU)

Для работы брутфорс-программ требуются очень мощные компьютеры. К несчастью, хакеры разработали аппаратные решения, которые значительно упрощают им часть работы.

Объединение ресурсов центрального (CPU) и графического (GPU) процессоров повышает вычислительную мощность компьютера. Интеграция в GPU тысяч вычислительных ядер позволяет системе справляться с несколькими задачами одновременно. Обработка данных с помощью GPU применяется в аналитике, инженерных работах и других процессах, требующих интенсивных вычислений. Используя GPU, хакеры могут взламывать пароли примерно в 250 раз быстрее, чем с помощью одного лишь центрального процессора.

Так сколько же времени нужно, чтобы взломать пароль? Внесем ясность: пароль, состоящий из шести символов, включая цифры, имеет приблизительно 2 млрд возможных комбинаций. Чтобы взломать его при помощи мощного CPU, перебирающего 30 паролей в секунду, потребуется больше двух лет. Добавив всего одну мощную карту GPU, мы получим скорость 7100 паролей в секунду, что позволит тому же компьютеру взломать тот же самый пароль за 3,5 дня.

Советы по защите паролей для профессионалов

Чтобы защитить себя и свою сеть, следует самим соблюдать меры предосторожности и помогать в этом другим людям. Необходимо не только усовершенствовать системы сетевой безопасности, но и обеспечить грамотное поведение пользователей.

IT-специалисты и рядовые пользователи должны соблюдать несколько общих правил.

Используйте сложное имя пользователя и пароль. Чтобы противостоять атакам, данные для авторизации должны быть более сложными, чем admin и password1234. Чем сложнее комбинация, тем труднее злоумышленникам ее взломать.
Удалите все неиспользуемые учетные записи с правами высокого уровня. Это цифровой аналог дверей с хлипкими замками, которые легко взломать. Бесконтрольные учетные записи – это уязвимость, которую нельзя допускать. Ликвидируйте их как можно скорее.

После того как базовые шаги сделаны, приходит время усилить меры безопасности и подключить рядовых пользователей.

Мы начнем с серверных технологий, затем дадим советы по поддержанию безопасного пользовательского поведения.

Пассивная защита паролей на уровне сервера

Надежное шифрование. Для эффективного противодействия брутфорс-атакам сисадмины должны следить, чтобы пароли для входа в систему были защищены максимальным уровнем шифрования – например, 256-битным шифрованием. Чем больше битов в ключе шифрования, тем сложнее взломать пароль.

Соль для хеша. Администраторам следует рандомизировать хеш-значения паролей, добавляя к телу паролей строки из случайных букв и цифр (так называемую «соль»). Эти строки должны храниться в отдельной базе данных, откуда могут быть извлечены и добавлены к паролю перед его хешированием. Благодаря добавлению соли, один и тот же пароль, используемый разными пользователями, будет иметь разные хеши.

Двухфакторная аутентификация (2FA). Дополнительно администраторы могут установить двухфакторную аутентификацию и систему мониторинга проникновений, которая обнаруживает брутфорс-атаки. Это означает, что пользователям для входа в систему необходимо будет пройти дополнительную идентификацию – например, при помощи физического USB-ключа или биометрии (скана отпечатка пальца).

Ограничение числа попыток авторизации. Это также снижает эффективность брутфорс-атак. Например, если после трех неудачных попыток ввода пароля пользователя блокируют на несколько минут, это приводит к значительным задержкам в работе хакеров и может заставить их отправиться на поиск более легких целей.

Полная блокировка аккаунта после неоднократных попыток авторизации. Если у хакеров есть возможность бесконечно подбирать пароль, то после временной блокировки они могут вернуться и продолжить свои попытки. Но если аккаунт будет заблокирован, а для разблокировки пользователю необходимо будет связаться с IT-отделом, это помешает хакерам добиться своей цели. Краткосрочная блокировка более удобна для пользователей, но в данном случае удобство может обернуться уязвимостью. Для баланса интересов можно рассмотреть введение сперва краткосрочной, а уже затем долгосрочной блокировки, если неудачные попытки авторизации будут продолжаться.

Задержка между попытками авторизации. Деятельность хакеров можно еще больше замедлить, если установить временные промежутки между попытками авторизации. Если первая попытка была неудачной, следующую попытку можно осуществить только через некоторый промежуток времени. Это даст возможность команде мониторинга заметить угрозу в режиме реального времени и попытаться ее устранить. Некоторые хакеры могут прекратить попытки, если результат не стоит потери времени

Включение капчи (CAPTCHA) после нескольких неудачных попыток авторизации. Программы-роботы не смогут взломать ваши данные, если вы установили ручную верификацию. Капчи бывают разные: иногда нужно ввести текст с картинки, установить галочку в поле или распознать объекты на изображениях. В любом случае капчу можно установить перед первым входом в систему, а для дальнейшей защиты – включать после каждой неудачной попытки входа.

Используйте черный список IP-адресов для блокировки уже известных злоумышленников. Этот список должен постоянно обновляться сотрудниками, которые за него отвечают.

Активная защита паролей с помощью IT-поддержки

Обучение работе с паролями. Грамотное поведение пользователей – важная часть защиты паролей. Ознакомьте пользователей с правилами безопасности и инструментами, которые помогают хранить пароли. Менеджеры паролей, такие как Kaspersky Password Manager, позволяют сохранять сложные, труднозапоминаемые пароли в зашифрованном хранилище, вместо того чтобы записывать их на бумажке. Поскольку пользователи обычно предпочитают комфорт безопасности, позаботьтесь о том, чтобы дать им удобные инструменты для защиты.

Наблюдение за аккаунтами в режиме реального времени. Это нужно, чтобы вовремя заметить необычную активность: попытки авторизации из неожиданных локаций, многочисленные неудачные попытки входа и т. д. Старайтесь выявить тенденции необычной активности и принимайте меры по блокировке потенциальных атак в режиме реального времени. Если вы обнаруживаете заблокированные IP-адреса и аккаунты или подозрительную активность, свяжитесь с владельцами аккаунтов, чтобы убедиться, что все в порядке.

Как придумывать сложные пароли, способные устоять перед брутфорс-атакой

Даже если вы рядовой пользователь, вы можете сделать многое для обеспечения собственной безопасности в цифровом мире. Лучшая стратегия защиты от брутфорс-атак – придумывать как можно более сильные пароли.

Злоумышленникам важно быстро взломать ваш пароль. Поэтому ваша цель – придумать такой пароль, чтобы максимально замедлить работу хакеров, ведь если атака займет слишком много времени, большинство из них махнут рукой и отправятся дальше.

Вот несколько советов, как придумать надежный пароль, способный устоять перед грубой силой.

Сочиняйте длинные пароли, состоящие из разнообразных символов. По возможности они должны состоять из десяти элементов, включая цифры и специальные символы. Такой пароль содержит 171,3 квинтиллиона (1,71 х 1020) возможных комбинаций. Если использовать графический процессор, который перебирает 10,3 млрд хешей в секунду, взлом такого пароля может занять приблизительно 526 лет. Однако суперкомпьютер может взломать его за несколько недель. Таким образом, чем больше символов в вашем пароле, тем сложнее его подобрать.

Придумывайте замысловатые кодовые фразы. Не на всех сайтах можно использовать такие длинные пароли, поэтому приходится придумывать сложные кодовые фразы, а не отдельные слова. Атаки по словарю рассчитаны на подбор односложных паролей, что позволяет хакерам достигать успеха практически без усилий. Кодовые фразы, состоящие из нескольких слов или сочетаний, должны быть дополнены цифрами или специальными символами.

Придумайте правила для составления паролей. Лучшие пароли – это те, которые вам легко запомнить, но которые будут непонятны всем остальным. Придумывая кодовую фразу, используйте сокращения – например, wd вместо wood. Так вы создадите последовательность, которая будет понятна только вам. Можно также опускать гласные или использовать только две первые буквы в слове.

Избегайте часто используемых паролей. Важно не использовать общеупотребительные пароли и регулярно менять их.

Придумайте отдельный пароль для каждого сайта, которым вы пользуетесь. Чтобы не оказаться жертвой подстановки учетных данных, никогда не используйте в разных местах один и тот же пароль. Если вы хотите еще немного повысить свою безопасность, придумывайте и новый логин для каждого сайта. Так вы сохраните конфиденциальность остальных аккаунтов, если один из них будет взломан.

Используйте менеджер паролей. Установив менеджер паролей, вы сможете автоматически создавать и сохранять пароли к вашим онлайн-аккаунтам. Таким образом, войдя в менеджер паролей, вы получите доступ ко всем вашим аккаунтам. Вы сможете создавать чрезвычайно длинные и сложные пароли для всех веб-сайтов, которыми пользуетесь, и хранить их в безопасном месте. При этом вам нужно запомнить один-единственный основной пароль.

Чтобы проверить, сколько времени потребуется для взлома вашего пароля, воспользуйтесь сервисом .

В 2021 году защитные решения «Лаборатории Касперского» получили две награды AV-TEST за производительность и уровень онлайн-защиты. Во всех тестах они показали отличные результаты.

Статьи по теме: