Et Brute Force-angrep er et forsøk på å gjette et brukernavn eller passord gjennom prøving og feiling. Brute Force programvare prøver å logge på en tjeneste ved å bruke tusenvis, om ikke millioner, av tegn kombinasjoner. Noen Brute Force-angrep er mer komplekse. De bruker gammel hacket legitimasjon som en base for Brute Force-forsøket.
Hvis du vil beskytte deg selv mot denne typen angrep, er dette hva du må gjøre:
- Bruk lengre og mer komplekse passord.
- Sett opp multifaktor autentisering.
- Abonner på en passord behandler. Vi anbefaler 1Password. Det er trygt og rimelig.
Hvis du vil finne ut mer om hvordan Brute Force-angrep fungerer, og hvordan du beskytter deg selv, kan du lese hele artikkelen vår nedenfor.
Har du noen gang lurt på hvordan hackere får tak i passordene til intetanende ofre? Det er ikke alltid ved å utnytte sikkerhets sårbarhetene til en stor plattform. Noen ganger er det så enkelt som å prøve kombinasjoner av tilfeldige bokstaver og tall. Det er det et Brute Force-angrep gjør.
Et Brute Force-angrep er et prøv-og-feil forsøk på å gjette en brukers påloggings informasjon, som betyr brukernavn og passord. Disse forsøkene er basert på en algoritme som bruker enten en ordbok eller en liste over mulig legitimasjon. Algoritmen vil prøve forskjellige varianter til den finner en vellykket pålogging.
Det er det grunnleggende – men moderne Brute Force-angrep er mye mer komplekse. Hvordan fungerer de, nøyaktig? Og hvordan kan du beskytte deg mot Brute Force-angrep?
Hvordan fungerer Brute Force-angrep?
I sin enkleste form vil et Brute Force-angrep prøve å gjette en kombinasjon av brukernavn og passord. Her er hvordan hackere vanligvis gjør dette:
- Gjennom generering av legitimasjon vil de instruere Brute Force-angreps verktøy til å generere legitimasjons kombinasjoner mellom angitte parametere, for eksempel en passord lengde på mer enn seks symboler.
- Programvaren vil generere en (veldig) lang liste med kombinasjoner. Vi snakker trillioner av alternativer.
- Brute Force-angreps verktøyene vil forsøke å logge på til en bestemt tjeneste med hver individuelle påloggings kombinasjon. Hele denne prosessen kan ta dager, uker eller måneder, selv med en kraftig datamaskin.
Hvis en påloggings kombinasjon ender opp med å låse opp en konto, var Brute Force-angrepet vellykket og hackeren har tilgang til den kontoen.
Ulike typer Brute Force-forsøk
Forklaringen ovenfor beskriver et hypotetisk Brute Force-forsøk. I det virkelige liv er imidlertid disse enkle Brute Force-angrepene vanligvis ikke nok til å hacke en konto. Oftest trenger et vellykket Brute Force-angrep en kombinasjon av forskjellige typer forsøk. Vi har listet opp dem nedenfor.
1. Grunnleggende Brute Force-angrep
Grunnleggende forsøk på å hacke folks kontoer fungerer med lister over generert legitimasjon. Programvare som Hydra genererer legitimasjons kombinasjoner, som deretter kan prøves ut som brukernavn og passord på forskjellige plattformer. Imidlertid er denne typen Brute Force-forsøk ikke ekstremt effektiv – og det er lett å se hvorfor.
Det totale antallet kombinasjoner av bokstaver, tall og symboler i en streng på seks tegn går inn i trillioner. Legg til det sensitivitet for store og små bokstaver og det faktum at det er mange passord med mer enn seks tegn, og du vil se problemet. Selv for en datamaskin er det mange tilfeldige kombinasjoner å prøve ut.
Kort sagt, disse grunnleggende Brute Force-angrepene vil ikke hackere komme langt.
2. Hybride Brute Force-angrep
Hybride Brute Force-angrep legger til logiske regler for generering av legitimasjon. Hackere kan lage en liste over vanlige brukernavn og bare prøve å generere påloggings informasjon for passordet, for eksempel.
La oss si at en hacker ønsker å bryte administrasjons området for et lite nettsted. I stedet for å generere symboler for brukernavnet, oppretter de en liste over alternativer som «admin», «kontor» og navnet på nettstedets eier.
Programvaren vil bare forsøke å fylle brukernavn feltet med alternativer fra den listen. For passord feltet vil det bruke et grunnleggende Brute Force-angrep for å prøve så mange kombinasjoner som trengs for å få et riktig passord.
3. Omvendt Brute Force-angrep
Et omvendt Brute Force-angrep vil bruke et vanlig passord, som «12345» eller «passord», og deretter generere brukernavn til de finner et som passer med det passordet. Selvfølgelig kan hackere også kombinere disse omvendte Brute Force-angrepene med en hybrid tilnærming for å være mer effektive.
Omvendt Brute Force-angrep utføres vanligvis på applikasjoner eller nettsteder som en hacker allerede har andre detaljer om.
4. Ordbok angrep
Ordbok angrep er som en oppgradert versjon av det grunnleggende angrepet. I stedet for å kombinere alle tegn, roterer ordbokangrep gjennom strenger og fraser som vanligvis brukes i legitimasjon. Alle disse vanlig brukte mønstrene er samlet i en ordbok, som deretter brukes til påloggings forsøk. Eksempler kan være navn for brukerfelt og nummer kjeder for passord felt.
Dictionary Brute Force-forsøk har en høyere suksessrate, men de er vanskeligere å sette opp. Jo mer informasjon hackere kan legge til ordboken, jo bedre (og farligere) blir den.
5. Resirkulering av legitimasjon
En av de mest effektive Brute Force-forsøk typene er resirkulering av legitimasjon. Dette skjer når hackere starter sitt Brute Force-forsøk med en database med stjålne legitimasjon de har fått fra et annet sted, ofte det mørke nettet.
Hvis en hacker kjøper en robot fra Genesis Market, for eksempel, kan de finne ut at noen legitimasjon ikke fungerer lenger. De kan deretter bruke Brute Force for å prøve ut nye passord for brukernavnene de allerede kjenner.
6. Rainbow table Brute Force-angrep
Rainbow table Brute Force-angrep er litt mer kompliserte enn ditt gjennomsnittlige Brute Force-angrep. For å forstå dem trenger vi litt mer bakgrunn.
Nettsteder kan lagre passordene våre på tre måter:
- Ren tekst er ganske farlig, siden ethvert brudd fører til direkte tap av legitimasjon.
- Kryptert tekst er bedre, men ikke perfekt, siden et hvilket som helst kryptert tekststykke også kan dekrypteres. Prosessen går begge veier.
- Hasher fungerer bare i én retning: du kan hash en streng med ren tekst, men du kan ikke gjøre en hash tilbake til ren tekst. Dette betyr at, teoretisk sett, er hasjer en ufeilbarlig metode for lagring av legitimasjon.
Dessverre, i praksis, kan hakkere fortsatt dekrypteres – og det er det en regnbue-bords Brute Force-angrep fokuserer på. De fleste hashing algoritmer (programmene som gjør vanlige tekst passord til en hash) er optimalisert for å kjøre veldig raskt, slik at de kan beregne så mye input som mulig. Ved å bruke denne design feilen kan hackere fortsatt prøve alle passord i verden som en hash, til de finner det rette.
For å gjøre dette effektivt bruker hackere et regnbue bord. Dette er lister over forhånds beregnet hasher som representerer ofte brukte passord, som «passord», «1234» eller «qwerty.» Hvis du har et slikt svakt passord, er det mye større sannsynlighet for at du blir offer for et Brute Force-angrep, selv når passordene dine er hash. Men siden de krever mye mer kunnskap innen kryptografi, er de ikke like vanlige.
Hva er farene ved Brute Force?
Brute Force-angrep setter personvernet og sikkerheten til mennesker over hele verden i fare. De er mer vanlige enn du kanskje forventer. I 2021, 23 % av selskapene sporet av Verizon rapporterte Brute Force-angrep.
Når hackere lykkes med å utføre et Brute Force-forsøk, kan dette forårsake mange forskjellige problemer. For enkeltpersoner kan konsekvensene omfatte:
- Spam-innhold lagt ut på deres sosiale medieprofiler.
- Tap av tilgang til den hackede kontoen.
- Databrudd og private samtaler.
- Spredning av skadelig programvare eller svindel gjennom en persons kontaktliste.
Når Brute Force-angrep retter seg mot kontoene til utviklere, blir konsekvensene enda mer alvorlige. Du får alle de negative effektene i listen ovenfor – multiplisert med antall brukere på den utviklerens applikasjon eller nettsted.
Hvordan forhindre Brute Force-angrep
Hvis du er en person med fokus på personvern som ønsker å bli beskyttet mot Brute Force-forsøk, er det flere ting du kan gjøre:
- Lag lengre passord. Jo lengre et passord er, desto vanskeligere er det å knekke gjennom brute force. Hvert brute force-forsøk basert på generering av legitimasjon trenger en lengde for passordene de genererer. Hvis ditt eget passord er lengre enn for eksempel 15 eller 20 tegn, er det usannsynlig at et angrep i det hele tatt vil sikte mot deg.
- Lag mer komplekse passord. Hvis du har forskjellige typer tegn i passordene dine, inkludert bokstaver, tall og symboler, vil det være vanskeligere for hackere å gjette det, selv når de bruker algoritmer.
- Ikke bruk ett passord for mer enn én tjeneste. På denne måten, hvis hackere målretter mot en av kontoene dine, kan ikke nettkriminelle bruke den samme informasjonen for å få tilgang til andre kontoer.
- Aktiver multifaktor autentisering. Dette er et ekstra beskyttelseslag på kontoen din som krever en ny verifisering før du kan logge på – for eksempel ved å taste inn en kode du mottar via tekstmelding. Med multifaktor autentisering, selv om en hacker gjetter passordet ditt, vil de ikke umiddelbart få tilgang til kontoen din.
- Bruk en passord behandling. Hvis du ikke vil bry deg med å lage lange, komplekse passord for alle kontoene dine, vil en passordbehandler ta seg av det. Dette vil tillate deg å bruke bedre passord uten å måtte huske dem alle. Vi personlig anbefaler 1Password, siden det er en sikker tjeneste som er veldig brukervennlig.
Forbedre sikkerheten din på nettet
Selv med de beste passordene, er legitimasjonen din fortsatt sårbar for brudd. Ting som phishing-kampanjer og man-in-the-middle-angrep er alltid mulig. Hvis legitimasjonen din ble hacket på andre måter, kan den til og med brukes til legitimasjons fylling av Brute Force-forsøk. Derfor er det viktig å forbedre din generelle sikkerhet på nettet.
Hvis du ønsker å holde deg beskyttet på nettet, bør du være forsiktig med å klikke på ukjente lenker, være skeptisk til oppsøking fra ukjente personer og holde deg unna skyggefulle apper eller nettsteder .
Utover dette anbefaler vi også å bruke spesielle sikkerhets apper. De som vil sikre høyere nivåer av nettsikkerhet er en god VPN og en pålitelig antivirus. Disse vil sikre tilkoblingen din og beskytte deg mot uønsket skadelig programvare og virus.
Hva du skal gjøre når du er målrettet av et Brute Force-angrep
Det kan være vanskelig å si når du er målet for et Brute Force-angrep mens det pågår. En sterk indikator er hvis du mottar flere e-poster fra plattformen at et påloggings forsøk fant sted når du ikke prøvde å logge på selv. Bortsett fra det, vil du sannsynligvis ikke engang legge merke til det før kontoen din allerede har blitt hacket.
Her er hva du kan gjøre i tilfelle du er på mottakersiden av et Brute Force-angrep:
- Kontakt plattformen som kontoen din er registrert på. Hvis du er heldig, vil en representant hjelpe deg med å fryse kontoen din. Hvis kontoen allerede er kompromittert og du ikke kan gjenopprette den, kan de fjerne kontoen slik at ingen kan utgi seg for deg.
- Endre passordet ditt. Hvis du fortsatt har tilgang til kontoen din, må du sørge for å endre passordet ditt til noe som er unikt og sikkert. Dette vil gjøre det mindre sannsynlig at brute force-angrepet lykkes med å gjette legitimasjonen din.
- Sett opp multifaktor autentisering hvis du ikke allerede har gjort det. Dette vil sikre at selv om Brute Force-forsøket er vellykket, vil det ikke gi angriperne tilgang til kontoen din.
Siden Brute Force-angrep kan brukes til å målrette mot omtrent hvem som helst, er det ingen måte å sikre at du ikke blir et mål. Men med regelmessige passordendringer og tipsene ovenfor, kan du gjøre det langt mer sannsynlig at ethvert pågående Brute Force-angrep på kontoen din vil mislykkes.
Brute Force-beskyttelse for utviklere
Hvis du administrerer en app eller et nettsted som lagrer påloggings informasjon, er det viktig å ta noen skritt for å beskytte brukerne dine mot Brute Force-forsøk. Her er de beste fremgangsmåtene for å begrense Brute Force-forsøk på plattformen din:
- Begrens påloggings forsøk. På denne måten vil Brute Force-angrep ta betydelig lengre tid på nettstedet ditt. De fleste hackere vil bli frarådet fra til og med å forsøke et Brute Force-angrep på et nettsted med et begrenset antall påloggings forsøk.
- Aktiver captcha på påloggings siden din. Vi vet at dette kan irritere noen brukere, men captchas (disse «beviser at du ikke er en robot» popup-vinduer) er noen av de mest pålitelige metodene for å forhindre Brute Force-angrep.
- Konfigurer engangspassord (OTP). OTP-er er engangspassord som trengs for å logge på tjenester eller bekrefte transaksjoner. De brukes mest i finanssektoren. Det er ikke den mest brukervennlige tilnærmingen til å sikre en nettplattform, men hvis du håndterer sensitive data (for eksempel hvis du har en Fintech-oppstart) er det noe å vurdere.
Vi håper artikkelen vår svarte på alle spørsmålene dine om Brute Force-angrep. Hvis du fortsatt ønsker mer, sjekk vår FAQ-seksjon nedenfor.
Et Brute Force-angrep er et hackingforsøk som bruker spesialisert programvare for å gjette bruker legitimasjon. Programvaren vil ta tegn ut av en ordbok, eller en liste over legitimasjon, og deretter sette dem inn på en påloggings side. Hvis du vil finne ut mer om hvordan dette fungerer og hvordan du beskytter deg mot denne typen angrep, sjekk ut artikkelen vår om Brute Force-angrep her.
Dessverre fungerer Brute Force-angrep. I 2021 rapporterte 23 % av selskapene som ble undersøkt av Verizon, Brute Force-forsøk på systemet deres. Når det er sagt, tar Brute Force-angrep veldig lang tid å hacke konto legitimasjon. Dette gjør dem til en vanskelig oppgave, spesielt for nettkriminelle som ikke har kraftige datamaskiner. Hvis du vil finne ut mer om Brute Force-angrep, les artikkelen vår «Hva er et Brute Force-angrep og hvordan kan du forhindre det?«.
La oss si at en nettkriminell ønsker å hacke kontoer fra en liten e-handelsside med få sikkerhetstiltak. De vil kjøre programvare som Hydra for å generere legitimasjons kombinasjoner. Deretter vil programvaren legge inn disse kombinasjonene på påloggings siden til e-handels siden. Når den treffer en kombinasjon som logger på vellykket (husk deg, dette kan ta uker eller måneder), varsler den nettkriminelle, og nettkriminelle vil ha tilgang.
Ja, i de fleste tilfeller er Brute Force-angrep ulovlige. Etiske hackere kan forsøke et Brute Force-angrep for å avdekke sikkerhets utnyttelser. Dette skjer vanligvis på interne bedrifts plattformer. Imidlertid er et Brute Force-angrep som forsøker å stjele noens legitimasjon ulovlig.
