Brute-force-hyökkäykset

Hakkerit yrittävät murtaa salasanan kokeilemalla erilaisia merkkiyhdistelmiä nopeasti peräkkäin. Algoritmi on hyvin yksinkertainen, ja se rajoittuu mahdollisimman monen merkkikombinaation kokeilemiseen, minkä vuoksi sitä kutsutaan myös nimellä "tyhjentävä haku". Hyökkääjä käyttää yleensä suorituskykyistä tietokonetta, joka suorittaa paljon laskutoimituksia sekunnissa ja voi näin ollen testata suuren määrän yhdistelmiä mahdollisimman lyhyessä ajassa.

Menetelmää käytetään usein menestyksekkäästi käytännössä, sillä monet käyttäjät käyttävät lyhyitä salasanoja, jotka usein koostuvat vain aakkosten kirjaimista, mikä vähentää huomattavasti mahdollisten yhdistelmien määrää ja helpottaa arvaamista.

Salasanojen purku

Distributed.net-järjestön RC5-projekti osoittaa, kuinka nopeasti salasanat voidaan purkaa. Projektin tavoitteena on purkaa 72-bittisellä avaimella salattu viesti. Tätä varten kokeillaan kaikkia mahdollisia avaimia, kunnes sopiva avain löytyy. Koska useat käyttäjät antavat tietokonekapasiteettinsa tämän hankkeen käyttöön, tällä hetkellä (8. toukokuuta 2012) voidaan luoda yli 800 miljardia avainta sekunnissa. Tämän organisaation aiemmissa hankkeissa 56-bittinen avain murrettiin 250 päivässä ja 64-bittinen avain 1 757 päivässä.

Salasanan yhdistelmä ja pituus

Eräät laskentaesimerkit havainnollistavat, miten pituus ja käytetyt merkit vaikuttavat salasanan turvallisuuteen. Laskentaesimerkeissä odotetaan 2 miljardin avaimen tuottamista sekunnissa, koska tämä vastaa suunnilleen erittäin vahvan yksittäisen tietokoneen nopeutta.

Kun luot salasanaa, seuraavat merkit ovat yleensä käytettävissä:

  • Numerot (10 erilaista: 0-9)
  • Kirjaimet (52 eri kirjainta: A-Z ja a-z)
  • Erikoismerkit (32 erilaista).

Mahdollisten yhdistelmien määrä lasketaan seuraavan kaavan avulla:

Mahdolliset yhdistelmät = mahdollinen merkkien määräSalasananpituus

Tämän tuloksena saadaan seuraavat laskentaesimerkit ottamatta huomioon muita tekijöitä, kuten sanakirjahyökkäyksiä:

Salasana koostuu Mahdolliset yhdistelmät Salakirjoituksen purkamiseen tarvittava aika

5 merkkiä
(3 pientä kirjainta,
2 numeroa)

365= 60,466,176

60,466,176 /
2,000,000,000 =
0.03 sekuntia

7 merkkiä
(1 iso kirjain,
6 pientä kirjainta)

527= 1,028,071,702,528

1,028,071,702,528 /
2,000,000,000 =
514 sekuntia =
noin 9 minuuttia

8 merkkiä
(4 pientä kirjainta,
2 erikoismerkkiä,
2 numeroa)

688= 457,163,239,653,376

457,163,239,653,376 /
2,000,000,000 =
228 581 sekuntia =
noin 2,6 päivää

9 merkkiä
(2 isoa kirjainta,
3 pientä kirjainta,
2 numeroa,
2 erikoismerkkiä)

949= 572,994,802,228,616,704

572,994,802,228,616,704 /
2,000,000,000 =
286,497,401 sekuntia =
noin 9,1 vuotta

12 merkkiä
(3 isoa kirjainta,
4 pientä kirjainta,
3 erikoismerkkiä,
2 numeroa)

9412= 475,920,314,814,253,376,475,136

475,920,314,814,253,376,475,136 /
2,000,000,000 =
237,960,157,407,127 Sekuntia =
noin 7,5 miljoonaa vuotta

Voit nähdä hyvin selvästi, miten salasanan pituus ja eri merkkiryhmien käyttö vaikuttavat salasanan turvallisuuteen.

Suojaus brute-force-hyökkäyksiä vastaan

Ainoa tapa puolustautua brute-force-hyökkäyksiä vastaan on käyttää monimutkaista pääsalasanaa, joka on riittävän pitkä ja joka koostuu kirjainten, erikoismerkkien, numeroiden sekä isojen ja pienten kirjainten yhdistelmästä. Mitä monimutkaisempi ja pidempi salasanasi on, sitä pienempi on todennäköisyys, että käytettävä ohjelmisto "arvelee" valitsemasi yhdistelmän sattumalta, kuten yllä olevista laskentaesimerkeistä näkyy.

Kun luot uuden salasanan Password Depotissa tai luot sen automaattisesti salasanageneraattorilla, näet, kuinka kauan salasanan murtaminen kestää. Password Depot ei ota huomioon vain edellä mainittuja tekijöitä, kuten merkkien lukumäärää, vaan myös muita haavoittuvuuksia, kuten haavoittuvuus sanakirjahyökkäyksille.

Toinen tapa vaikeuttaa brute-force-hyökkäyksiä on pidentää kahden kirjautumisyrityksen välistä aikaa (kun salasana on syötetty väärin). Tämän seurauksena hakkerin tehokas tietokone voi hidastua huolimatta lukuisista laskutoimituksista sekunnissa, joihin se teoriassa kykenisi. Siksi Password Depotissa pääsalasanan valintaikkuna lukittuu muutamaksi sekunniksi, jos syötät väärän pääsalasanan. Kun virheellisten salasanojen syöttäminen yleistyy, myös tämä odotusaika pitenee.