Et brute force-angreb er et forsøg på at bryde en adgangskode eller brugernavn eller finde et skjult websted eller finde en nøgle til kryptering af en meddelelse ved hjælp af en prøven-sig-frem-tilgang og håbe på at gætte rigtigt med tiden. Det er en gammel angrebsmetode, men den er stadig effektiv og populær blandt hackere.
Afhængigt af længden og kompleksiteten af adgangskoden kan det tage lige fra et par sekunder til mange år at bryde den. Faktisk viser det sig, at nogle hackere går efter de samme systemer hver dag i månedsvis og undertiden endda i årevis.
At gætte en adgangskode for en bestemt bruger eller et websted kan tage lang tid, så hackere har udviklet værktøjer til at gøre arbejdet hurtigere.
Ordbøger er det mest grundlæggende værktøj. Nogle hackere går gennem uforkortede ordbøger og forstærker ord med specialtegn og tal eller bruger særlige ordbøger af ord, men denne type sekventielle angreb er besværlige.
I et standardangreb vælger en hacker et mål og kører mulige adgangskoder mod det pågældende brugernavn. Disse kaldes ordbogsangreb.
Som navnet antyder, vender et omvendt brute force-angreb angrebsstrategien om ved at starte med en kendt adgangskode – f.eks. lækkede adgangskoder, der er tilgængelige online – og søger i millioner af brugernavne, indtil der findes et match.
Der findes også automatiserede værktøjer, der kan hjælpe ved brute force-angreb, med navne som Brutus, Medusa, THC Hydra, Ncrack, John the Ripper, Aircrack-ng og Rainbow. Mange kan finde en enkelt ordbogsadgangskode inden for ét sekund.
Værktøjer som disse arbejder imod mange computerprotokoller (f.eks. FTP, MySQL, SMPT og Telnet) og gør hackere i stand til at knække trådløse modemmer, identificere svage adgangskoder, afkryptere adgangskoder i krypterede lagre, oversætte ord til leetspeak — f.eks. bliver "don'thackme" til "d0n7H4cKm3" – køre alle mulige kombinationer af tegn og bruge ordbogsangreb.
Nogle værktøjer scanner forudberegnede rainbow tables til input og output af kendte hash-funktioner – den algoritmebaserede krypteringsmetode, der bruges til at oversætte adgangskoder til lange serier af bogstaver og tal med fast længde.
Ved at kombinere CPU og GPU (graphics processing unit) accelereres computerkraften ved at lægge tusindvis af computerkerner i GPU'en i behandlingen, der gør systemet i stand til at håndtere flere opgaver samtidig. GPU-behandling anvendes til analyser, teknik og andre intensive computerapplikationer og kan bryde adgangskoder ca. 250 gange hurtigere end en CPU alene.
For at sætte tingene i perspektiv har en sekscifret adgangskode, der indeholder tal, ca. 2 mia. mulige kombinationer. At bryde den med en kraftfuld CPU, der forsøger 30 adgangskoder pr. sekund, vil tage mere end to år. Ved at tilføje et enkelt, kraftfuldt GPU-kort kan den samme computer teste 7.100 adgangskoder pr. sekund og bryde adgangskoden på 3,5 dage.
For at gøre det sværere for brute force-angreb at lykkes, bør systemadministratorer sikre, at adgangskoder til deres systemer er krypteret med den højest mulige krypteringshastighed, f.eks. 256-bit kryptering. Jo flere bit i krypteringsplanen, desto sværere er det at bryde adgangskoden.
Administratorer bør også salte hash-koden — adgangskodens hash-kode vilkårliggøres ved at tilføje en tilfældig streng af bogstaver og tal (kaldet salt) til selve adgangskoden. Denne streng skal opbevares i en separat database og hentes og lægges til adgangskoden, før den hash-kodes. Ved at gøre dette kan brugere med den samme adgangskode have forskellige hash-koder. Derudover kan administratorer kræve totrinsgodkendelse og installere et indtrængningsdetekteringssystem, der registrerer brute force-angreb.
Begrænsning af antallet af forsøg mindsker også modtageligheden overfor brute force-angreb. Ved f.eks. at tillade tre forsøg til at indtaste den korrekte adgangskode, før brugeren blokeres i flere minutter, kan man forårsage betydelige forsinkelser og få hackere til at gå videre til nemmere mål.
Hvis det er muligt, bør brugere vælge 10-tegns adgangskoder, som indeholder symboler eller tal. Det vil skabe 171,3 trillioner (1.71 x 1020) muligheder. Ved at bruge en GPU-processor, der forsøger 10,3 mia. hash-koder pr. sekund, vil det tage ca. 526 år at bryde adgangskoden, selv om en supercomputer, vil kunne bryde den inden for nogle få uger.
Ikke alle websteder tillader sådanne lange adgangskoder, hvilket betyder, at brugere skal vælge komplekse adgangskoder i stedet for enkelte ord. Det er vigtigt at undgå de mest almindelige adgangskoder og skifte dem jævnligt.
Installation af en automatiserer administrationen af adgangskoder og giver brugere adgang til alle deres konti ved først at logge på password manager. De kan derefter oprette ekstremt lange og komplekse adgangskoder til alle de websteder, de besøger, opbevare dem forsvarligt, og de behøver kun at huske én adgangskode til password manager.
For at teste adgangskodeordets styrke kan brugere besøge https://password.kaspersky.com.