Brute-force-angreb
Brute-force-angreb udføres af hackere, der forsøger at knække et password ved simpelthen at afprøve forskellige kombinationer af tegn hurtigt efter hinanden. Algoritmen er meget simpel og begrænser sig til at afprøve så mange tegnkombinationer som muligt, hvorfor den også kaldes "exhaustive search". Angriberen bruger normalt en højtydende computer, som udfører mange beregninger pr. sekund og derfor kan teste et stort antal kombinationer på kortest mulig tid.
Metoden bruges ofte med succes i praksis, da mange brugere bruger korte adgangskoder, som ofte kun består af bogstaverne i alfabetet, hvilket drastisk reducerer antallet af mulige kombinationer og gør det lettere at gætte.
Dekryptering af adgangskoder
Projektet RC5 fra organisationen Distributed.net viser, hvor hurtigt adgangskoder kan dekrypteres. Målet med projektet er at dekryptere en besked, som er krypteret med en 72-bit nøgle. Til dette formål afprøves alle mulige nøgler, indtil den passende nøgle er fundet. Da flere brugere stiller deres computerkapacitet til rådighed for dette projekt, kan der i øjeblikket (pr. 8. maj 2012) genereres mere end 800 milliarder nøgler i sekundet. Ældre projekter i denne organisation knækkede en 56-bit nøgle inden for 250 dage og en 64-bit nøgle inden for 1.757 dage.
Kombination og længde af adgangskoden
Nogle beregningseksempler vil illustrere samspillet mellem længde og anvendte tegn for sikkerheden af et password. I beregningseksemplerne forventes en generering af 2 milliarder nøgler pr. sekund, da det omtrent svarer til hastigheden på en meget stærk enkelt computer.
Når du opretter en adgangskode, er følgende tegn normalt tilgængelige:
- Tal (10 forskellige: 0-9)
- Bogstaver (52 forskellige: A-Z og a-z)
- Specialtegn (32 forskellige).
Antallet af mulige kombinationer beregnes ved hjælp af følgende formel:
Mulige kombinationer = muligt antaltegnPassword-længde
Det resulterer i følgende beregningseksempler, hvor der ikke tages højde for andre faktorer, som f.eks. ordbogsangreb:
| Adgangskoden består af | Mulige kombinationer | Tid, det tager at dekryptere |
|---|---|---|
5 tegn |
365= 60,466,176 |
60,466,176 / |
7 tegn |
527= 1,028,071,702,528 |
1,028,071,702,528 / |
8 tegn |
688= 457,163,239,653,376 |
457,163,239,653,376 / |
9 tegn |
949= 572,994,802,228,616,704 |
572,994,802,228,616,704 / |
12 tegn |
9412= 475,920,314,814,253,376,475,136 |
475,920,314,814,253,376,475,136 / |
Du kan meget tydeligt se, hvordan længden af adgangskoden og brugen af forskellige tegngrupper påvirker sikkerheden af en adgangskode.
Beskyttelse mod brute-force-angreb
Den eneste måde, du kan forsvare dig mod brute-force-angreb på, er at bruge et komplekst hovedkodeord, der er langt nok og består af en kombination af bogstaver, specialtegn, tal og store/små bogstaver. Jo mere kompleks og længere din adgangskode er, jo mindre er sandsynligheden for, at den anvendte software "gætter" din valgte kombination ved en tilfældighed, som du kan se af beregningseksemplerne ovenfor.
Når du opretter et nyt password i Password Depot eller får det genereret automatisk ved hjælp af Password Generator, kan du se, hvor lang tid det vil tage at knække passwordet. Password Depot tager ikke kun hensyn til ovenstående faktorer, såsom antallet af tegn, men også andre sårbarheder, såsom sårbarhed over for ordbogsangreb.
En anden måde at gøre brute-force-angreb sværere på er at forlænge tiden mellem to login-forsøg (efter at have indtastet et password forkert). Resultatet er, at hackerens højtydende computer bliver langsommere på trods af de mange beregninger pr. sekund, som den teoretisk set ville være i stand til. Det er derfor, at dialogboksen med hovedadgangskoden i Password Depot er låst i et par sekunder, hvis du indtaster en forkert hovedadgangskode. Med stigende hyppighed af forkerte adgangskoder stiger denne ventetid også.