Atak brute force – co to jest i jak go uniknąć?
3 min
Sprawdź, jak wypozycjonowaliśmy naszą stronę do TOP1
3 min
Na skróty
Na podstawie policyjnych danych Rzeczpospolita oszacowała, że w 2023 roku doszło w Polsce do 83 tys. cyberprzestępstw. Zagrożony takimi zdarzeniami jest każdy – hakerzy znajdują sposoby, którymi usypiają czujność nawet tych osób, które zdają sobie sprawę z zagrożeń. Jednym z rodzajów ataków jest brute force. Sprawdź, na czym polega i jak go uniknąć.
Ta forma cyberataku jest jedną z najstarszych, a polega na łamaniu haseł dostępowych i kluczy kryptograficznych. Ma tutaj miejsce sprawdzanie różnych kombinacji znaków aż do momentu znalezienia tej właściwej. Choć z założenia jest prosta i teoretycznie da się ustalić każde hasło, to w praktyce, w przypadku długich szyfrów, przestępcy mogą nie zrealizować celu. Metoda sprawdza się najlepiej w przypadku prostych i krótkich haseł. Biorąc pod uwagę, jakich używamy najczęściej, nic dziwnego, że atak brute force nadal jest tak skuteczny.
Oto najpopularniejsze hasła według Cybernews Investigation Team:
Źródło: https://cybernews.com/best-password-managers/most-common-passwords/
Nie warto korzystać z tak popularnych haseł. Jeśli ich używasz, ryzykujesz, że ktoś nieuprawniony zaloguje się na Twoje konto i wykorzysta je do popełnienia przestępstwa.
Istnieją różne metody takiego ataku. Jednym z nich jest Simple Brute Force Attack, w którym algorytm próbuje zgadnąć dane dostępowe poprzez sprawdzanie różnych kombinacji. W ramach Reverse Brute Force Attack używa tego samego hasła do zalogowania na różne konta. Inną jest Credential Stuffing, kiedy to przestępcy wykorzystują kombinacje loginów i haseł pozyskanych w ramach poprzednich włamań. Kolejny to Dictionary Brute Force Attack. W tym przypadku atakujący korzysta nie z przypadkowych kombinacji znaków, tylko z najczęściej używanych haseł. Ostatnim jest Hybrid Brute Force Attack, kiedy to cyberprzestępca łączy różne metody, aby zwiększyć skuteczność ataku.
Źródło: https://www.spiceworks.com/it-security/cyber-risk-management/articles/what-is-brute-force-attack/
Istnieją różne metody, którymi można ograniczyć do minimum ryzyko skuteczności takiego ataku. Głównie chodzi tutaj o uniemożliwienie wprowadzania w nieskończoność różnych kombinacji haseł i wszelkie działania, które utrudniają zalogowanie się na nieswoje konto. W zasadzie dzięki rozwiązaniom, które zapewnia firma hostingowa i innym można ograniczyć ryzyko do minimum.
Możesz ograniczyć ryzyko dokonania skutecznego ataku tego typu poprzez zastosowanie różnych zabezpieczeń. Jakich?
Ten system został wydany w 2007 roku i korzysta z niego ponad 13 milionów stron WWW. Ma uniemożliwić botom rejestrację kont, dodawanie spamerskich komentarzy, kupowanie produktów, ale także masowe próby logowania. Użytkownik musi wykonać określoną czynność, aby udowodnić, że jest człowiekiem, np. poprzez zaznaczenie okienka przed wysłaniem wiadomości. Natomiast wykorzystywane są różne rodzaje tego zabezpieczenia, co obrazuje poniższa grafika.
Źródło: https://www.researchgate.net/figure/A-statistical-pie-graph-of-the-CAPTCHA-types-from-100-popular-websites-with-each-of-them_fig1_352473523
Uwierzytelnianie dwuskładnikowe
W przypadku zastosowania tego zabezpieczania użytkownik musi w dodatkowy sposób potwierdzić swoją tożsamość, np. poprzez podanie kodu SMS. To wydłuża proces logowania, ale też skutecznie zabezpiecza przed uzyskaniem dostępu do danych przez niepowołane do tego osoby. Uwierzytelnianie dwuskładnikowe możesz wdrożyć w sklepie m.in. poprzez zastosowanie aplikacji Google Authenticator. To jeden ze skutecznych sposobów na to, jak zabezpieczać dane w sklepie online.
Wymuszanie trudnego hasła
Ustal, że użytkownik musi w swoim haśle użyć, np. co najmniej 8 znaków, w tym dużych liter, cyfr i znaków specjalnych. Poza tym warto wprowadzić przymus jego zmiany co określony czas, np. pół roku. Nie należy jednak wymagać tego zbyt często, aby nie było to zbyt uciążliwe dla użytkowników. Korzystaj z menedżera haseł, który będzie bezpiecznie przechowywać wszystkie hasła, niezależnie od ich długości i złożoności. Nie używaj ponownie tych samych i korzystaj z innych w ramach kont w różnych serwisach.
Przedsiębiorca związany z branżą SEO od 2004 roku. Tworzy content o tematyce marketingu online, finansów, nieruchomości i podróży. Rozwija własne serwisy tematyczne.
