Device hacking the computer through internet
Klicka här för en snabb summering
Vad är en brute force-attack? En snabb genomgång

En brute force-attack är en metod som går ut på att gissa ett användarnamn eller lösenord genom att prova olika kombinationer. Brute force-program försöker logga in genom att använda tusentals, om inte miljoner olika teckenkombinationer. En del brute force-attacker är mer komplicerade. De använder gamla hackade inloggningsuppgifter som använder gamla hackade uppgifter som grund till brute force-attacken.

Om du vill skydda dig mot den här typen av attack kan du göra följande:

  1. Använd längre och mer komplicerade lösenord.
  2. Konfigurera flerfaktorautentisering.
  3. Prenumerera på en lösenordshanterare. Vi rekommenderar 1Passowrd. Den är säker och prisvänlig.

Besök 1Password

Läs hela vår artikel här nedan om du vill få reda på mer om hur brute force-attacker fungerar och hur man skyddar sig.

Har du någonsin undrat hur hackare kan lägga vantarna på lösenord från intet ont anande offer? De gör det inte alltid genom att utnyttja en stor plattforms säkerhetsbrister. Ibland är det så enkelt som att prova en kombination av slumpmässiga bokstäver och siffror. Så fungerar en brute force-attack.

En brute force-attack innebär att man kontinuerligt försöker gissa en användares inloggningsuppgifter, alltså användarnamnet och lösenordet. De här försöken görs med hjälp av en algoritm som antingen använder en ordbok eller en lista med möjliga inloggningsuppgifter. Algoritmen provar olika variationer tills den hittar de rätta uppgifterna.

Det är grunderna – men moderna brute force-attacker är mycket mer komplicerade, men exakt hur fungerar de? Och hur kan man skydda sig mot brute force-attacker?

Hur fungerar brute force-attacker?

I dess simplaste form går brute force-attacker ut på att försöka gissa en kombination av användarnamn och lösenord. Så här gör hackarna vanligtvis:

  1. Genom att generera inloggningsuppgifter, man ger brute force-verktyget instruktioner för hur de skapar kombinationer av inloggningsuppgifter beroende på parametrar som lösenordslängd med över sex symboler.
  2. Programmet genererar en (mycket) lång lista med kombinationer. Det handlar om triljoner olika alternativ.
  3. Brute force-verktygen försöker logga in på en specifik tjänst med varje enskild inloggningskombination. Hela den här processen kan ta dagar, veckor eller månader, till och med om man har en kraftfull dator.

Om en inloggningskombination kan låsa upp ett konto så har brute force-attacken lyckats och hackaren får åtkomst till kontot.

Olika typer av brute force-försök

Förklaringen ovan beskriver ett hypotetiskt brute force-försök. I det verkliga livet är vanligtvis inte dessa enkla brute force-attacker tillräckliga för att hacka ett konto. Oftast behöver en framgångsrik brute force-attack en kombination av olika försök. Vi har listat dessa här nedan.

Infographic showing the types of Brute force attempts

1. Enkla brute force-attacker

Enkla attacker för att hacka konton går ut på att använda listor av genererade inloggningsuppgifter. Program som Hydra genererar inloggningskombinationer som sedan kan testas som användarnamn och lösenord på olika plattformar. Men den här typen av brute force-försök är inte särskilt effektiva, och det är lätt att förstå varför.

Det totala antalet kombinationer av bokstäver, siffror och symboler i en sträng med sex tecken genereras i triljoner. Utöver det får man addera aspekten med gemener och versaler och det faktum att det finns många lösenord med över sex tecken. Då är det enkelt att se problemet. Även för en dator är detta en stor mängd slumpmässiga kombinationer att testa.

I korthet är inte de här simpla brute force-attackerna till särskilt stor nytta för hackare.

2. Hybrid brute force-attacker

Hybdrid brute force-attacker adderar logiska regler för genereringen av inloggningsuppgifterna. Hackare kan göra en lista med vanliga användarnamn och exempelvis bara försöka generera lösenord.

Föreställ dig att en hackare vill ta sig in på adminpanelen för en liten hemsida. Istället för att generera symboler för användarnamnet skapar de en lista med alternativ som ”admin”, ”kontor” och namnet på hemsidesägaren.

Programmet kommer bara försöka att fylla fältet för användarnamnet med alternativ från denna lista. För lösenordsfältet kommer det att använda en enkel brute force-attack för att testa så många kombinationer som det krävs för att få ett korrekt lösenord.

3. Reverse brute force-attack

En reverse brute force-attack använder ett vanligt lösenord, som ”12345” eller ”lösenord”, och genererar sedan användarnamn tills man hittar ett som matchar det lösenordet. Naturligtvis kan hackare även kombinera reverse brute force-attacker med en hybrid approach för att bli effektivare.

Reverse brute force-attacker genomförs vanligtvis på applikationer eller webbplatser som en hackare redan har fått tag på andra uppgifter om.

4. Ordboksattacker

Ordboksattacker är som en uppgraderad version av den enkla attacken. Istället för att kombinera alla tecken roterar en ordboksattack de strängar och fraser som vanligtvis används som inloggningsuppgifter. Alla de här vanliga mönstren samlas i en ordbok som sedan används till inloggningsförsök. Exempel kan varan namn för användarfälten och sifferkedjor för lösenordsfälten.

Ordboksattacker är mer framgångsrika, men de är svårare att konfigurera. Ju mer information hackarna kan addera till ordboken, desto bättre (och farligare) blir den.

5. Credentials recycling

En av de mest effektiva brute force-metoderna är credentials recycling. Det går ut på att hackaren börjar sin brute force-attack med en databas av stulna inloggningsuppgifter som de fått tag på någon annanstans, ofta ifrån dark web.

Om en hackare köper en bot på Genesis Market kan de exempelvis upptäcka att en del uppgifter inte fungerar längre. Då kan de använda brute force för att prova nya lösenord till de användarnamnen som de redan känner till.

6. Rainbow table brute force-attack

Rainbow table brute force-attacker är lite mer komplicerade än en vanlig brute force-attack. För att förstå dem behöver vi lite mer bakgrundsinformation.

Hemsidor kan lagra våra lösenord på tre olika sätt:

  • Vanlig text är ganska farligt, eftersom alla läckor leder till en direkt förlust av inloggningsuppgifterna.
  • Krypterad text är bättre, men inte perfekt eftersom all krypterad text också kan dekrypteras. Processen funkar åt båda hållen.
  • Hashkod fungerar bara åt ena hållet: man kan omvandla en vanlig textsträng, men man kan inte omvandla hashkod tillbaka till vanlig text. Teoretiskt innebär det att hashkoder är en ofelbar metod för att spara inloggningsuppgifter.

I praktiken kan tyvärr hashkoder fortfarande dekrypteras och det är vad en rainbow table brute force-attack fokuserar sig på att göra. De flesta hash-algoritmerna (programmen som omvandlar vanliga textlösenord till hash) är optimerade för att köras riktigt snabbt, så att de kan kalkylera så mycket inmatning som möjligt. Genom att utnyttja det här konstruktionsfelet kan hackare fortfarande prova alla lösenord i världen som är hashkoder tills de hittar det rätta.

För att göra det effektivt använder hackare ett rainbow table. Dessa är listor med förberäknade hashkoder som representerar vanligt förekommande lösenord, exempelvis ”password”, ”1234” eller ”qwerty”. Om du har ett svagt lösenord likt det löper du en mycket större risk att falla offer för en brute force-attack, även när dina lösenord är hashkodade. Men eftersom de kräver mycket mer kunskap i kryptografin är de inte särskilt vanliga.

Vad är farorna med brute force?

Brute force-attacker är en fara för alla människors sekretess och säkerhet världen över. De är vanligare än du kan tro. 2021 rapporterade 23% av företagen som Verizon följer att de drabbats av brute force-attacker.

När hackare lyckas med ett brute force-försök kan det orsaka massor av olika problem. För enskilda personer kan konsekvenserna bli:

  • Spam-innehåll publiceras på deras sociala medieprofiler.
  • Förlorad åtkomst till hackade konton.
  • Data och privata konversationer läcks ut.
  • Sprida skadliga program eller utföra bedrägerier genom en persons kontaktlista.

När brute force-attacker riktar in sig på utvecklares konton blir konsekvenserna ännu större. Du får alla negativa effekter som listas ovan multiplicerat med antalet användare för utvecklarens applikation eller hemsida.

Hur man förhindrar brute force-attacker

Det finns flera saker du kan göra om du lägger stor vikt vid din integritet och vill skydda dig mot brute force-attacker:

Infographic showing examples of how to prevent Brute force attacks

  • Skapa längre lösenord. Ju längre ett lösenord är, desto svårare är det att knäcka genom brute force. Varje brute force-attack som baseras på genererade uppgifter behöver en längd för de lösenorden som ska genereras. Om ditt eget lösenord är längre än dem, exempelvis 15 eller 20 tecken så är det osannolikt att en attack kommer drabba dig.
  • Skapa mer komplicerade lösenord. Om du använder olika typer av tecken i dina lösenord: bokstäver, siffror och symboler är det svårare för hackare att gissa det, även när de använder algoritmer.
  • Använd inte ett lösenord för mer än en enhet. Om hackare angriper ett av dina konton på det här sättet kan de inte använda samma information för att få åtkomst till andra konton.
  • Aktivera flerfaktorautentisering. Det är en extra skyddsbarriär på ditt konto som kräver en andra verifiering innan man kan logga in – exempelvis genom att ange en kod som man får via SMS. Med flerfaktorautentisering får hackaren inte omedelbar åtkomst till ditt konto även om hen får tag på ditt lösenord.
  • Använd en lösenordshanterare. Om du inte vill bekymra dig över att skapa långa, komplicerade lösenord till alla dina konton kan en lösenordshanterare ta hand om det.  Det gör att du kan använda bättre lösenord utan att behöva komma ihåg dem. Personligen rekommenderar vi 1Password eftersom det är en säker tjänst som är mycket användarvänlig.

Stärk din onlinesäkerhet

Även med de bästa lösenorden är dina uppgifter sårbara för läckor. Saker som phishing-kampanjer och man-in-the-middle-attacker är alltid möjliga. Om dina användaruppgifter hackas med andra medel kan de till och med användas för brute force-metoden credential stuffing.

Om du vill hålla dig skyddad online bör du undvika att klicka på okända länkar, vara skeptisk när okända personer kontaktar dig, och hålla dig borta från suspekta appar eller hemsidor.

Vid sidan av detta rekommenderar vi att man använder speciella säkerhetsappar. De som säkerställer en högre onlinesäkerhet är en bra VPN och ett pålitligt antivirus. Dessa säkrar din anslutning och skyddar dig från oönskat malware och virus.

Vad man ska göra när man drabbas av en brute force-attack

Det kan vara svårt att vara säker på om man drabbats av en brute force-attack när den väl sker. En stark indikator är om du får flera emails från en plattform som notifierar dig om att ett inloggningsförsök har ägt rum, även fast du inte försökte logga in själv. Utöver det kommer du troligtvis inte ens märka det tills ditt konto redan har hackats.

Det här kan du göra ifall du utsätts för en brute force-attack:

  • Kontakta plattformen som ditt konto är registrerat på. Om du har tur kommer en representant hjälpa dig att frysa ditt konto. Om kontot redan har hackats kan du återställa det eller så kanske plattformen raderar kontot för att ingen ska kunna imitera dig.
  • Ändra ditt lösenord. Om du fortfarande har åtkomst till ditt konto bör du se till att ändra ditt lösenord till något som är unikt och säkert. Detta minskar risken att brute force-attackerare ska lyckas gissa dina inloggningsuppgifter.
  • Skapa flerfaktorautentisering om du inte redan har gjort det. Det säkerställer att du inte ger brottslingarna tillgång till ditt konto fastän brute force-attacken lyckas.

Eftersom brute force-attacker kan drabba i princip vem som helst finns det inget sätt som garanterar att du inte faller offer för det. Men med regelbundna lösenordsändringar och tipsen ovan kan du öka sannolikheten för att alla kontinuerliga brute force-attacker ska misslyckas.

Brute force-skydd för utvecklare

Om du hanterar en app eller hemsida som lagrar inloggningsinformation är det viktigt att vidta en del åtgärder för att skydda dina användare från brute force-attacker. Här är några av de bästa metoderna för att begränsa brute force-metodernas inverkan på din plattform:

  • Begränsa antalet inloggningsförsök. På så sätt tar attackerna avsevärt längre tid. De flesta hackare kommer undvika att ens försöka utföra en brute force-attack på en webbplats som har ett begränsat antal inloggningsförsök.
  • Aktivera captcha på din inloggningssida. Vi vet att det kan irritera en del användare, men captchas (rutorna som ”bevisar att du inte är en robot”) är några av de vanligaste metoderna för att förhindra brute force-attacker.
  • Skapa engångslösenord (OTP:s). OTP:s är lösenord som kan användas en gång för att kunna logga in på tjänster eller för att verifiera transaktioner. Metoden används främst inom finanssektorn. Det är inte det mest användarvänliga tillvägagångssättet för att säkra en onlineplattform, men om du hanterar känslig data (exempelvis om du har ett startupföretag inom fintech), så är det värt att överväga.
Brute force-attacler: Vanliga frågor

Vi hoppas att vår artikel har besvarat alla dina frågor om brute force-attacker. Om du fortfarande har fler kan du se vår FAQ-sektion här nedan.

Vad innebär en brute force-attack?

En brute force-attack är ett hackningsförsök som användare specialiserade program för att gissa användaruppgifter. Programmet tar tecken från en ordbok eller lista med inloggningsuppgifter och adderar dem sedan på en inloggningssida. Ta en titt på vår artikel om brute force-attacker här ifall du vill få reda på mer om hur det här fungerar och hur man skyddar sig mot den här typen av attack.

Fungerar brute force-attacker?

Tyvärr fungerar brute force-attacker. Under 2021 rapporterade 23% av företagen som Verizon undersökte brute force-attacker i deras system. Med det sagt tar brute force-attacker riktigt lång tid för att lyckas hacka kontouppgifter. Detta gör det till en svår uppgift, i synnerhet för cyberbrottslingar som inte har kraftfulla datorer. Om du vill få reda på mer om brute force-attacker kan du läsa vår artikel ”Vad är en brute force-attack och hur kan man förhindra den?

Hur fungerar en brute force-attack?

Föreställ dig att en cyberbrottsling vill hacka konton från en liten ecommerce-sida med få säkerhetsåtgärder. Då kör de program som exempelvis Hydra för att generera inloggningskombinationer. Sedan matar programmet in dessa kombinationer på inloggningssidan för ecommerce-företaget. När programmet hittar en kombination som lyckas logga in (kom ihåg att det kan ta veckor eller månader), så notifierar det cyberbrottslingen och hen får då åtkomst.

Är en brute force-attack olaglig?

Ja, i de flesta fall är brute force-attacker olagliga. Etiska hackare kan försöka sig på en brute force-attack för att avslöja säkerhetsbrister. Det sker vanligtvis på interna företagsplattformar. Men en brute force-attack som går ut på att stjäla någon annans inloggningsuppgifter är olagligt.

Lämna en kommentar