Brute-force-angrep
Brute-force-angrep utføres av hackere som prøver å knekke et passord ved ganske enkelt å prøve ut forskjellige kombinasjoner av tegn i rask rekkefølge. Algoritmen er svært enkel og begrenser seg til å prøve ut så mange tegnkombinasjoner som mulig, og kalles derfor også "uttømmende søk". Angriperen bruker vanligvis en datamaskin med høy ytelse, som utfører mange beregninger i sekundet og dermed kan teste et stort antall kombinasjoner på kortest mulig tid.
Metoden brukes ofte med hell i praksis, ettersom mange brukere bruker korte passord, som ofte bare består av bokstavene i alfabetet, noe som drastisk reduserer antall mulige kombinasjoner og gjør det enklere å gjette.
Dekryptering av passord
Prosjektet RC5 fra organisasjonen Distributed.net viser hvor raskt passord kan dekrypteres. Målet med prosjektet er å dekryptere en melding som er kryptert med en 72-biters nøkkel. Til dette formålet prøves alle mulige nøkler ut til den riktige nøkkelen er funnet. Siden flere brukere stiller sin datakapasitet til rådighet for dette prosjektet, kan det for øyeblikket (per 8. mai 2012) genereres mer enn 800 milliarder nøkler i sekundet. Eldre prosjekter i denne organisasjonen klarte å knekke en 56-biters nøkkel i løpet av 250 dager og en 64-biters nøkkel i løpet av 1757 dager.
Kombinasjon og lengde på passordet
Noen beregningseksempler vil illustrere samspillet mellom lengde og brukte tegn for sikkerheten til et passord. I beregningseksemplene forventes en generering av 2 milliarder nøkler per sekund, siden dette tilsvarer omtrent hastigheten til en svært sterk datamaskin.
Når du oppretter et passord, er følgende tegn vanligvis tilgjengelige:
- Tall (10 forskjellige: 0-9)
- Bokstaver (52 forskjellige: A-Z og a-z)
- Spesialtegn (32 forskjellige).
Antall mulige kombinasjoner beregnes ved hjelp av følgende formel:
Mulige kombinasjoner = mulig antalltegnLengde på passord
Dette resulterer i følgende beregningseksempler uten å ta hensyn til andre faktorer, for eksempel ordbokangrep:
| Passordet består av | Mulige kombinasjoner | Tid det tar å dekryptere |
|---|---|---|
5 tegn |
365= 60,466,176 |
60,466,176 / |
7 tegn |
527= 1,028,071,702,528 |
1,028,071,702,528 / |
8 tegn |
688= 457,163,239,653,376 |
457,163,239,653,376 / |
9 tegn |
949= 572,994,802,228,616,704 |
572,994,802,228,616,704 / |
12 tegn |
9412= 475,920,314,814,253,376,475,136 |
475,920,314,814,253,376,475,136 / |
Du ser tydelig hvordan passordets lengde og bruken av ulike tegngrupper påvirker passordets sikkerhet.
Beskyttelse mot brute-force-angrep
Den eneste måten du kan forsvare deg mot brute-force-angrep på, er å bruke et komplekst hovedpassord som er langt nok og består av en kombinasjon av bokstaver, spesialtegn, tall og store og små bokstaver. Jo mer komplekst og langt passordet ditt er, desto mindre er sannsynligheten for at programvaren som brukes, "gjetter" den valgte kombinasjonen ved en tilfeldighet, som du kan se av regneeksemplene ovenfor.
Når du oppretter et nytt passord i Password Depot eller får det generert automatisk ved hjelp av passordgeneratoren, kan du se hvor lang tid det vil ta å knekke passordet. Password Depot tar ikke bare hensyn til de ovennevnte faktorene, for eksempel antall tegn, men også andre sårbarheter, som for eksempel sårbarhet for ordboksangrep.
En annen måte å gjøre brute-force-angrep vanskeligere på er å forlenge tiden mellom to innloggingsforsøk (etter at passordet er tastet inn feil). Dette kan føre til at hackerens høytytende datamaskin blir langsommere, til tross for at den i teorien er i stand til å utføre mange beregninger i sekundet. Det er grunnen til at dialogboksen for hovedpassord i Password Depot låses i noen sekunder hvis du skriver inn feil hovedpassord. Denne ventetiden øker i takt med at det blir stadig vanligere å taste inn feil passord.