امنیت به زبان ساده: حمله بروت فورس به چه معناست و چطور انجام می‌شود؟

حمله بروت فروس که به آن «جستجوی جامع» نیز گفته می‌شود، نوعی متد هک رمزنگارانه است که با حدس ترکیب‌های محتمل در پسوورد شخص هدف انجام می‌شود و آنقدر ادامه می‌یابد تا پسوورد به دست آید. هرچه پسوورد طولانی‌تر باشد، ترکیب‌های بیشتری را باید تست کرد.

حمله بروت فورس می‌تواند کاری بسیار وقت‌گیر باشد و در صورت استفاده اهداف از متدهای رمزنگاری مدرن، شکلی بسیار دشوار به خود می‌گیرد، گاهی آنقدر دشوار که عملا غیرممکن می‌شود. با این همه، اگر پسوورد هدف ضعیف باشد، همین پروسه می‌تواند در ظرف چند ثانیه و بدون تلاش چندان طی شود. پسووردهای ساده به آسانی به دست مهاجمین می‌افتند و به خاطر همین است که تمام سازمان‌ها و کسب‌وکارها باید استفاده از پسووردهای قدرتمند را از سوی کارکنان خود اجباری کنند.

حملات بروت فورس چه کاربردی دارند؟

حملات بروت فورس معمولا به این خاطر به کار گرفته می‌شوند که هکر قادر به دستیابی به اطلاعات شخصی افراد مانند پسووردها، نام‌های کاربری و شماره‌های شناسایی شخصی (PIN) باشند. در این روش از یک اسکریپت، یک اپلیکیشن هک یا پروسه‌ای مشابه استفاده می‌شود تا با تلاش مداوم و جستجوی جامع، اطلاعات مورد نیاز بالاخره به دست آید.

اهداف یک حمله بروت فورس به شرح زیر است:

سرقت اطلاعات شخصی مانند پسووردها و دیگر اطلاعاتی که از آن‌ها برای دسترسی به اکانت‌های آنلاین و منابع شبکه استفاده می‌شود
استخراج اطلاعات شخصی برای فروش آن‌ها به اشخاص ثالث
جای زدن خود به جای شخصی دیگر و ارسال لینک‌های فیشینگ یا اشاعه دادن محتوای دروغین
رخنه به وب‌سایت‌ها و به دست آوردن اطلاعات موجود در دامنه عمومی که می‌توانند به اعتبار و شهرت یک سازمان آسیب بزنند
ارجاع دادن دامنه‌ها به وب‌سایت‌هایی که حاوی محتویات بدخواهانه هستند
البته این روش حمله سایبری می‌تواند مزایایی هم داشته باشد. برای مثال بسیاری از متخصصین حوزه فناوری اطلاعات از این متد حمله برای سنجش میزان امنیت شبکه و به صورت دقیق‌تر، سنجش قدرت تکنیک‌های رمزنگاری در یک شبکه استفاده می‌کنند.

ابزارهای حمله بروت فورس
یک مهاجم به صورت معمولا از کمک نرم‌افزارهای خودکاری بهره‌مند است که می‌تواند ترکیب‌های مختلف پسووردها را تست کند تا بالاخره پسوورد صحیح به دست آید. برای آزمون و خطا با انبوهی از ترکیب‌ها و احتمالات مختلف، استفاده از یک اپلیکیشن شکستن پسوورد بروت فورس ضروری است، زیرا مشخصا تمام محاسبات لازم را نمی‌توان با اتکای صرف بر توانایی‌های انسانی به انجام رساند. از جمله ابزارهای محبوب در متد بروت فورس می‌توان به Aircrack-ng ،John the Ripper ،L0phtCrack و RainbowCrack اشاره کرد.

انواع حملات بروت فورس
حملات بروت فورس را می‌توان به طرف مختلف پیاده‌سازی کرد و در تمام روش‌ها، اهداف همان چیزهایی است که بالاتر ذکر کردیم.

حملات بروت فورس هیبریدی

شاید نام «حمله دیکشنری» به گوش‌تان آشنا باشد. این رایج‌ترین فرم از حملات بروت فورس است که با استفاده از لیستی از کلمات موجود در دیکشنری، به یافتن پسوورد می‌پردازد. در دیگر روش‌های بروت فورس، حمله ممکن است با لیستی شامل پسووردهای رایج پیاده‌سازی شود. برای مثال اگر پسووردتان، کلمه «Password» باشد، یک بات بروت فورس می‌تواند این رمز عبور را در عرض چند ثانیه بیابد.

حملات بروت فورس معکوس

حملات بروت فورس معکوس، مشخصا به دنبال یافتن رمز عبور یک نام کاربری خاص نیستند و در عوض، پسووردهای مشخصی را انتخاب کرده و به آزمون و خطای آن‌ها با لیستی شامل نام‌های کاربری احتمالی می‌پردازند.

دریافت اعتبارنامه

وقتی هکر به ترکیب نام کاربری و پسوورد دسترسی داشته باشد، می‌تواند از آن برای دستیابی به دیگر وب‌سایت‌ها و منابع شبکه استفاده کند. برای مثال بسیاری از کاربران از پسووردی یکسان در وب‌سایت‌های مختلف استفاده کرده و کار را برای خود ساده می‌کنند. استفاده از تدابیر امنیتی مختلف مانند احراز هویت دو مرحله‌ای یا استفاده از پسووردهای متنوع در وب‌سایت‌های مختلف می‌تواند کار را برای مهاجمین بسیار سخت کدن.

چطور از حملات بروت فورس جلوگیری کنیم؟

حملات بروت فورس معمولا با اتکا بر پسووردهای ضعیف و مدیریت بی‌دقت شبکه‌ها انجام می‌شوند. خوشبختانه این‌ها حوزه‌هایی هستند که می‌توانند به راحتی بهبود یابند و از بروز آسیب‌پذیری‌هایی که شبکه یا وب‌سایت را به زانو در می‌آورند جلوگیری شود. برای مثال با استفاده از پسووردهای قدرتمند، محدود کردن سقف تلاش‌ها برای لاگین کردن و پیاده‌سازی سیستم احراز هویت دو مرحله‌ای، می‌توان کار را برای مهاجمین به شکل قابل توجهی دشوار کرد.

در نهایت نیز مهم‌ترین کار اینست که تمام اعضای سازمان از اهمیت استفاده از پسووردهای قدرتمند و عادات امنیتی درست باخبر باشند. حتی با استفاده از پسووردهای قدرتمند، احتمال دارد کاربران قربانی تهدیدات داخلی شوند که آن هم ناشی از فرهنگ امنیتی ضعیف در شرکت است.

reference

content editor at zino.

دیدگاه خود را بنویسید:

آدرس ایمیل شما نمایش داده نخواهد شد.

سایدبار کشویی

دسته بندی ها