Brute-force-attacker
Brute-force-attacker utförs av hackare som försöker knäcka ett lösenord genom att helt enkelt prova olika kombinationer av tecken i snabb följd. Algoritmen är mycket enkel och begränsas till att prova så många teckenkombinationer som möjligt, varför den också kallas "uttömmande sökning". Angriparen använder vanligtvis en högpresterande dator, som utför många beräkningar per sekund och därmed kan testa ett stort antal kombinationer på kortast möjliga tid.
Metoden används ofta framgångsrikt i praktiken, eftersom många användare använder korta lösenord, som ofta bara består av bokstäverna i alfabetet, vilket drastiskt minskar antalet möjliga kombinationer och gör det lättare att gissa.
Dekryptering av lösenord
Projektet RC5 från organisationen Distributed.net visar hur snabbt lösenord kan dekrypteras. Syftet med projektet är att dekryptera ett meddelande som krypterats med en 72-bitars nyckel. För detta ändamål testas alla möjliga nycklar tills den lämpliga nyckeln hittas. Eftersom flera användare ställer sin datorkapacitet till förfogande för detta projekt kan man för närvarande (8 maj 2012) generera mer än 800 miljarder nycklar per sekund. Äldre projekt i denna organisation knäckte en 56-bitars nyckel inom 250 dagar och en 64-bitars nyckel inom 1 757 dagar.
Kombination och längd på lösenordet
Några beräkningsexempel kommer att illustrera samspelet mellan längd och använda tecken för säkerheten i ett lösenord. I beräkningsexemplen förväntas en generering av 2 miljarder nycklar per sekund, eftersom detta ungefär motsvarar hastigheten hos en mycket stark enskild dator.
När du skapar ett lösenord är följande tecken vanligtvis tillgängliga:
- Siffror (10 olika: 0-9)
- Bokstäver (52 olika: A-Z och a-z)
- Specialtecken (32 olika).
Antalet möjliga kombinationer beräknas med hjälp av följande formel:
Möjliga kombinationer = möjligt antalteckenLösenordslängd
Detta resulterar i följande beräkningsexempel utan hänsyn till andra faktorer, t.ex. ordboksattacker:
| Lösenordet består av | Möjliga kombinationer | Tidsåtgång för dekryptering |
|---|---|---|
5 tecken |
365= 60,466,176 |
60,466,176 / |
7 tecken |
527= 1,028,071,702,528 |
1,028,071,702,528 / |
8 tecken |
688= 457,163,239,653,376 |
457,163,239,653,376 / |
9 tecken |
949= 572,994,802,228,616,704 |
572,994,802,228,616,704 / |
12 tecken |
9412= 475,920,314,814,253,376,475,136 |
475,920,314,814,253,376,475,136 / |
Du kan tydligt se hur lösenordets längd och användningen av olika teckengrupper påverkar lösenordets säkerhet.
Skydd mot brute-force-attacker
Det enda sättet du kan försvara dig mot brute-force-attacker är att använda ett komplext huvudlösenord som är tillräckligt långt och består av en kombination av bokstäver, specialtecken, siffror och stora/små bokstäver. Ju mer komplext och längre ditt lösenord är, desto lägre är sannolikheten för att den programvara som används "gissar" din valda kombination av en slump, vilket du kan se från beräkningsexemplen ovan.
När du skapar ett nytt lösenord i Password Depot eller låter det genereras automatiskt med hjälp av lösenordsgeneratorn, kan du se hur lång tid det skulle ta att knäcka lösenordet. Password Depot tar inte bara hänsyn till ovanstående faktorer, t.ex. antalet tecken, utan även till andra sårbarheter, t.ex. sårbarheten för ordboksattacker.
Ett annat sätt att försvåra brute-force-attacker är att förlänga tiden mellan två inloggningsförsök (efter att ett lösenord har angetts felaktigt). På så sätt kan hackerns högpresterande dator saktas ner trots de många beräkningar per sekund som den teoretiskt skulle kunna utföra. Det är därför dialogrutan för huvudlösenordet i Password Depot är låst i några sekunder om du anger ett felaktigt huvudlösenord. Med ökande frekvens av felaktiga lösenord ökar också denna väntetid.