Czym jest atak BruteForce?

Jeśli jesteś aktywnym użytkownikiem internetu to zapewne nie raz spotkałeś się z próbą wyłudzenia danych przez hakerów niekoniecznie będąc tego świadomym. Ze względu na nieustanny wzrost popularności internetu oraz ilości spraw, jakie jesteśmy w stanie załatwić online ilość ataków cyberprzestępczych nieustannie wzrasta. Hakerzy szukają coraz to lepszych metod na oszustwa i wyłudzenia ważnych dla nich informacji np. hasła, dane osobowe, pliki z ważnymi dokumentami, czy też informacje o karcie kredytowej i logowaniu do banku. Ataki cyberprzestępcze są opracowane w taki sposób, aby wyglądały na standardową procedurę lub wiarygodną stronę internetową. W tym artykule dowiesz się czym jest atak BruteForce i na co warto zwrócić uwagę, aby zwiekszyć swoje bezpieczeństwo w sieci.

Co to jest BruteForce?

Jest to jedna z najstarszych metod hakerskich, jednak cieszy się dużym powodzeniem. Polega przede wszystkim na łamaniu haseł dostępowych, jak również kluczy kryptograficznych poprzez losowe wpisywanie kombinacji znaków, jakie mogły zostać użyte podczas nadawania hasła przez właściciela usługi. Metoda ta jest doskonała zwałaszcza w sytuacji, kiedy hasło jest krótkie i mało skomplikowane. Ta forma ataku hakerskiego jest dość prosta w realizacji, natomiast może zająć stosunkowo dużo czasu biorąc pod uwagę ilość kombinacji znaków i cyfr nadanych dla hasła. Współcześnie podczas ataków BruteForce używane są oprogramowania komputerowe, które wykorzystaując posiadaną moc obliczeniową oraz procesory graficzne pozwalają na przyspieszenie tego procesu. Atak może zająć kilka dni, tygodni, a czasami nawet miesięcy. Wszystko zależy tak naprawdę od tego jak silne mamy hasło.

Rodzaje ataków BruteForce

Zanim powiem Ci, jak możesz się zabezpieczyć przed tego typu atakami, to warto abyś miał świadomość jakie są rodzaje ataków BruteForce:

  • Simple Brute Force Attack – podczas tego ataku hakerzy wykorzystują wiele metod, których zadaniem jest odszukanie prawidłowych loginów oraz haseł dostępowych. Ilość prób jest nieograniczona. Polega przede wszystkim na “odgadywaniu” danych dostępowych np. Login: Admin, Hasło: Admin123 (jest to chyba najgorsza pod względem bezpieczeństwa kombinacja, jaką możemy nadać).
  • Credential stuffing – w tej metodzie hakerzy posługują się loginami, które pojawiły się już w innych miejscach logowania np. w socialmedia.
  • Dictionary Brute Force Attack – najprościej mówiąc ten rodzaj ataku ma charakter słownikowy, polega na wybraniu najczęściej stosowanego hasła np. “admin”, zwiększa to szanse na zalogowanie do konta.
  • Hybrid Brute Force Attack – jak sama nazwa wskazuje ta metoda ataku polega przede wszystkim na połączeniu kilku metod hakerskich celem zwiększenia szansy na powodzenie włamania. Łączy w sobie przede wszystkim atak prosty i słownikowy.

Jak zabezpieczyć się przed atakiem brute-force?

Istnieje kilka podstawowych metod, które pozwalają na zwiększenie swojego bezpieczeństwa w sieci.

Zablokowanie adresów IP

Jeśli posiadasz dostęp do logów, w których widać dużą ilość prób logowania do Twojej witryny z podejrzanych adresów IP to jedną z metod jest ich zablokowanie. Pozwoli to na odciążenie serwera i blokowanie kolejnych prób ataku. Niestety należy podkreslić, że ta metoda ma jedną podstawową wadę, a mianowicie blokuje dość duże grupy użytkowników chcących odwiedzić stronę. Jest to natomiast jedna z najskuteczniejszych metod do walki z tego typu atakami. Oczywiście po skończonej próbie ataku zablokowane wcześniej adresy IP można odblokować.

CAPTCHA

Wykorzystanie na stronach internetowych zabezpieczenia w postaci CAPTCHA jest bardzo popularnym oraz sprawdzonym rozwiązaniem. Pozwala na odróżnienie działania człowieka od komputera. Zapewne nie raz spotkałeś się z captchą np. podczas wysłania wiadomości przez formularz kontaktowy. Użytkownik proszony jest o zaznaczenie okienka przed wysyłką wiadomości. Bardzo często podczas próby ataku, komputery które wykryją to zabezpieczenie nie podejmują dalszych prób wyłudzenia danych. Jednym z najpopularniejszych rozwiązań jest reCAPTCHA.

Trudne hasło

Dobrym i skutecznym rozwiązaniem jest także wprowadzenie wymuszania na użytkownikach ustawienia trudnego i bezpiecznego hasła logowania. Skonstruowanie formularza w taki sposób, aby nie przepuszczał hasła, który nie ma minimum 8 znaków, dużej i małej litery, znaku specjalnego oraz cyfry spowoduje, że aby zlamać takie hasło dostępowe konieczne będzie wprowadzenie aż 100 miliardów kombinacji. Pamiętaj także, że ustawienie trudnego hasła to nie wszystko. Duże znaczenie ma także sposób jego przechowywania. Jednym z najpopularniejszych oraz nejbezpieczniejszych rozwiązań jest manager haseł.

Uwierzytelnienie dwuskładnikowe

Coraz więcej aplikacji wprowadza tę formę zabezpieczenia dla swoich użytkowników. Zabezpieczenie 2FA wymusza na użytkowniku dodatkowe potwierdzenie tożsamości. Logowanie z użyciem 2FA wydłuża cały proces logowania natomiast niewątpliwie zwiększa bezpieczeństwo usługi i Twoich danych. Jedną z aplikacji, dzięki której możesz korzystać z logowania dwuskładnikowego jest Google Authenticator. Jest to Aplikacja Google, w której wygenerujesz sześć cyfr, a następnie musisz je wpisać w oknie logowania, po wpisaniu nazwy użytkownika i hasła.

Zabezpieczenie panelu administrator dodatkowym hasłem

Jeśli korzystasz z serwera Apache to w pliku .htaccess możesz wprowadzić dodatkową formę zabezpieczającą logowanie do panelu administratora strony. Po wejściu na stronę pojawi Ci się okno, w którym będziesz musiał wpisać dodatkowe dane logowania. Dokładną instrukcję, jak to wykonać krok po kroku opisaliśmy w artykule Najprzydatniejsze reguły htaccess dla WordPressa.

Podsumowanie

Pamiętaj, że atak BruteForce jest tylko jedną z wielu form ataków cyberprzestępczych. Warto jednak, znać najważniejsze formy wykorzystywane przez hakerów. Wzrost popoularności internetu oraz użytkowników, którzy z niego korzystają powinno powodować zwiększenie świadomości dotyczącej bezpieczeństa w sieci. Tworzenie silnych i bezpiecznych haseł jest podstawą. Ważne jednak, aby przechowywać je w odpowiednim miejscu. Nie zostawiaj nigdy danych logowania oraz dokumentów z danymi wrażliwymi na widoku. Chwila nieuwagi może doprowadzić do utraty Twoich danych, jak również środków pieniężnych na koncie. Mam nadzieje, że wiesz już czym jest atak BruteForce i jak się przed nim zabezpieczyć.

Przeczytaj także:

Artykuł odpowiedział na twoje pytanie? Udostępnij go dalej:
Obrazek domyślny
Karolina Wierzbińska
Zwolenniczka innowacyjnego podejścia do biznesu w sieci. Od kliku lat głównym zamiłowaniem jest SEO i Content Marketing. Nieustannie śledzi wszelkie nowinki technologiczne. Na co dzień entuzjastka zdrowego trybu życia i zwierząt.
Bezpłatny kurs WordPress