Tietoturva ja h4x0r

[Daddy]

Aa...ok! Kysymys on salasanatiivisteessä siis sieltä palvelinpäästä löytyvästä "salasanatiedostosta", jossa on käyttäjien salasanat. Semmoisen kun saa noheva krakkeri käsiinsä niin voi siitä sitten alkaa laskentehoja käyttäen alkaa laskemaan että mikä on se tiivistetyn salasanan "oikea" versio. Kiitos tiedosta ja päivän sivistysannoksesta!

[Beefcake]

Brute Force hyökkäystä vastaan voi kaiketi suojautua varsin yksinkertaisesti: esim kolmen väärän salasanan jälkeen tulee vaikka 30 sek tauko, ennenkuin voi yrittää uutta. Ja jos sekin on väärin, niin sitten tulee 1min tauko, ja niin poispäin. Käsittääkseni kaikki vähänkin fiksummat järjestelmät - kuten uusimmat kännykät - on varustettu tällaisella suojauksella.

Olet osittain oikeassa. Online-hyökkäysten kohdalla suora salasanaan tai käyttäjätunnuksiin kohdistuva brute force ei ole nykyään erityisen relevantti hyökkäysvektori, koska hyökkäyksen hidastaminen ja havaitseminen on kohtuullisen yksinkertaista, juuri kuten mainitsit.

Nykyään brute force-hyökkäykset tapahtuvatkin pääasiassa offline-ympäristössä milloin hyökkääjä on saanut haltuunsa esimerkiksi kryptattua materiaalia tai salasanojen kohdalla salasanojen hajautusarvoja (hash). Tällaista vuotanutta materiaalia kohtaan hyökätessä voidaan brute force ajaa hyökkääjän omassa ympäristössä milloin ei tarvitse murehtia paljastumista tai hidastavia varotoimia. Eli perinteinen brute force-hyökkäys tulee kyseeseen tyypillisesti kun kohteesta on saatu jotain irti muuta kautta, primääri hyökkäysvektori tuo on harvemmin.

Mikäli aihe kiinnostaa hieman pintaa syvemmältä, niin tässä on varsin pätevä lyhyehkö yhteenveto brute forcen eri muodoista:
A Brute Force Attack Definition & Look at How Brute Force Works

[TimoS]

Tuo AlexMachinen taulukko tuskin pitää paikkaansa, jos hyökkääjällä on tarpeeksi resursseja hoitaa murtautuminen




Sent from my iPhone using Tapatalk Pro