بایگانی برچسب‌ها : رمزعبور

حمله بروت فورس Brute-force attack

حمله بروت فورس یا Brute-force attack چیست؟

حمله بروت فورس (Brute-force attack) حمله‌ای است که طی آن، فرد حمله کننده با بررسی کلمه‌های عبور مختلف به صورت سیستماتیک سعی می‌کند کلید رمزگشایی یا رمز عبور یک سیستم تأیید اعتبار را به دست آورد.

به عبارت بهتر در حملات Brute force، حالات مختلف ممکن برای رمز عبور مورد بررسی قرار می‌گیرد تا رمز عبور صحیح شناسایی شود. این نوع حملات، مبتنی بر روش حل مسأله‌ای به نام جستجوی بروت فورس یا جستجوی فراگیر (exhaustive search) عمل می‌کنند که در آن با بررسی تمام حالات ممکن برای پاسخ، به دنبال کاندیدی می‌گردیم که تمام شرایط مدنظر مسأله را برآورده می‌سازد. از اینرو این حملات را با نام “حمله جستجوی فراگیر” نیز می‌شناسند.

برای رمزهای عبور کوتاه، حمله بروت فورس می‌تواند در زمان کوتاهی تمام رمزهای عبور ممکن را مورد بررسی و آزمایش قرار دهد و به نتیجه‌ی مطلوب دست پیدا کند، اما در مورد رمزهای عبور طولانی، استفاده از این روش نیازمند صرف زمانی بسیار طولانی (در حد چندین ماه یا حتی چندین سال) می‌باشد که عملا آن را به روشی نامناسب و بدون کارایی تبدیل می‌کند (پیچیدگی زمانی مورد نیاز برای بروت فورس به صورت نمایی با افزایش طول رمز یا کلید افزایش می‌یابد). از اینرو معمولا بروت فورس به عنوان آخرین حربه‌ی هکرها و زمانی که نقطه‌ی ضعفی برای نفوذ به سیستم مشاهده نشود مورد استفاده قرار می‌گیرد.

معمولا در این نوع حملات از واحد پردازش گرافیکی (GPU) برای بررسی حالات مختلف رمز عبور استفاده می‌شود. چرا که گونه‌های مدرن این پردازنده‌ها ضمن در دسترس بودن و قیمت مناسب (به نسبت کارایی) برای انجام کارهای تکراری از کارایی بیشتری در مقایسه با یک پردازنده مرکزی (CPU) برخوردار هستند.

با توجه به ماهیت، روش بروت فورس می‌تواند حداقل از نقطه نظر تئوری برای رمزگشایی هر نوع داده‌ی رمزنگاری شده و سیستم تعیین اعتباری (ولو در زمانی نامعقول) مورد استفاده قرار بگیرد. از سوی دیگر، روش حمله لغت‌نامه‌ای (Dictionary attack) با وجود اینکه از سرعت بالاتری برای رمزهای ساده برخوردار است اما به دلیل محدود بودن فضای مورد جستجو به هیچ وجه نمی‌تواند مانند بروت فورس، یافتن رمز صحیح را تضمین نماید.

مقابله با حمله بروت فورس

بسیاری از سیستم‌های تعیین اعتبار از روش‌های مختلفی برای مقابله با این نوع حملات استفاده می‌کنند. محدود کردن تعداد دفعات تلاش ناموفق برای ورود به حساب کاربری در یک وبسایت و پیچیده‌تر کردن فرایند ورود (با استفاده از روش‌هایی نظیر کپچا) از جمله‌ی این روش‌ها به شمار می‌روند. از سوی دیگر کاربر نیز می‌تواند با انتخاب رمزهای عبور پیچیده و طولانی (ترکیب رقم، حرف و نماد) و هم‌چنین در صورت امکان، استفاده از روش‌های تأیید اعتبار دو عاملی امنیت خود را در برابر این نوع حملات تا حد ممکن افزایش دهند.

حمله بروت فورس معکوس (Reverse Brute-force attack)

در گونه‌ی معکوس این نوع حملات برخلاف روش معمولی، فرد متجاوز به جای بررسی رمزهای عبور مختلف برای یک نام کاربری معین، مجموعه‌ای محدود از رمزهای عبور را برای تمام نام‌های کاربری ثبت شده در یک سامانه مورد بررسی قرار می‌دهد. در چنین حملاتی، کاربرانی که از رمزهای عبور ساده و کوتاه‌تر استفاده کرده‌اند آسیب‌پذیرتر خواهند بود.

پیوندهای پیشنهادی تک دیک

لینک واژه در ویکیپدیا

حمله لغت نامه ای Dictionary Attack

حمله لغت نامه ای یا Dictionary Attack چیست؟

حمله لغت نامه ای (Dictionary Attack) در علوم رایانه، به روشی گفته می‌شود که در آن متجاوز تلاش می‌کند با امتحان کردن مجموعه‌ای از واژه‌های رایج، کلید رمزگشایی یا کلمه عبور یک سیستم تعیین اعتبار را به دست آورد.

به عبارت بهتر، در حملات لغت نامه ای، فرد حمله کننده لیستی از واژه‌ها، عبارات و حتی ترکیب حروف، ارقام و نمادها را مورد استفاده قرار می‌دهد که از احتمال بیشتری برای انتخاب شدن به عنوان رمز برخوردار هستند.

برخلاف حملات بروت فورس (که در آن‌ها به صورت سیستماتیک فضای کلید بسیار بزرگی مورد تست قرار می‌گیرد)، در حملات مبتنی بر لغت‌نامه تنها عباراتی که رایج‌تر هستند بررسی می‌شود. بنابراین در صورتی که کاربر از یک رمز عبور پیچیده و غیر رایج استفاده کند امکان موفقیت متجاوز در حمله لغت‌نامه‌ای بسیار پایین خواهد بود. اما جالب است بدانید متأسفانه بسیاری از افراد برای تسهیل به خاطر سپردن رمز عبور خود، از رمزهای ساده‌ای همچون 123456 و یا qwerty استفاده می‌کنند که حتی بدون استفاده از یک لغت‌نامه کامل نیز به سرعت قابل شناسایی می‌باشد!

نرم‌افزارهای متعددی برای انجام حملات لغت‌نامه‌ای طراحی شده است (که طبق قوانین مجاز به ذکر اسامی آن‌ها نیستیم). البته ذکر این نکته ضروری است که در این نوع حملات، هرچه لغت‌نامه‌ی مورد استفاده دارای عبارات بیشتری (در حد میلیون‌ها عدد!) باشد، احتمال موفقیت حمله و هم‌چنین زمان مورد نیاز برای بررسی تمام لغات افزایش خواهد یافت. در برخی از لغت‌نامه‌ها، عبارات رایج‌تر در ابتدای لیست قرار داده می‌شوند که به این ترتیب شکستن رمزهای متداول آسان‌تر می‌شود. بنابراین به شما توصیه می‌کنیم برای غلبه بر این نوع حملات از رمزهای عبور پیچیده، ترجیحا بدون معنا و مفهوم و در عین حال ترکیبی از حرف، رقم و نماد استفاده کنید به طوری که مطمئن شوید نه تنها رمزتان در هیچ لغت‌نامه‌ای یافت نمی‌شود بلکه کار را برای سایر روش‌ها مثل حمله بروت فورس نیز بسیار دشوارتر کرده‌اید.

پیوندهای پیشنهادی تک دیک

لینک واژه در ویکیپدیا