ブルートフォース攻撃は、知的戦略を採用するのではなく、徹底的な努力(ブルートフォースを使用)によって、パスワードやDES(Data Encryption Standard)キーなどの暗号化されたデータを解読するためにアプリケーションプログラムによって使用される試行錯誤の方法である。 犯罪者が多くの可能な組み合わせを試みることによって金庫に侵入したり、”クラック”したりするのと同じように、ブルートフォース攻撃アプリケーションは、,
ハッカーは、ブルートフォース攻撃を使用してウェブサイトやアカウントへのアクセスを取得し、データを盗んだり、サイトをシャットダウンしたり、別のタイ ブルートフォースは、時間がかかりますが、絶対確実なアプローチであると考えられています。
せんべいたものである組織を試験ネットワークセキュリティはより一般的使用のために悪意のある攻撃であった。 L0pht Heavy IndustriesのL0phtcrackのようないくつかのバリエーションは、共通または組織中心の慣行の知識に基づいて仮定を立て、ブルートフォースを適用して残りのデータをクラックすることから始まります。, L0phtcrack用力攻撃Windows NTパスワードからワークステーション PC Magazineは、管理者権限のないWindows95ターミナルからプログラムを使用したシステム管理者が、officeパスワードの85%を発見することができたと報告しました。
ブルートフォース攻撃の仕組み
ブルートフォース攻撃は、一般的に、正しい入力が見つかるまで、ユーザー名とパスワードのさまざまな組み合わせを推測するために自動ツールを使用します。 パスワードが長くなるほど、通常、正しい入力を見つけるのにかかる時間が長くなります。,
さまざまなタイプのブルートフォース攻撃が存在します。 たとえば、資格情報のリサイクルは、以前の攻撃からのユーザー名とパスワードが使用されるブルートフォース攻撃の一形態です。 逆ブルートフォース攻撃は、パスワードを既知の値として持ち、ユーザー名は持たない攻撃から始まります。 ハッカーは、通常のブルートフォース攻撃と同じパターンに従って、正しいユーザー名を見つけます。 辞書攻撃は、辞書のすべての単語がパスワードを見つけるためにテストされるブルートフォース攻撃の別のタイプです。 辞書攻撃はまた、数字、文字などで単語を増強することができます。, 追加の形式のブルートフォース攻撃は、”password”、”12345678″(またはこのような数値シーケンス)、”qwerty”など、最も一般的に使用されるパスワードを試して使用することがあります。”
ブルートフォース攻撃を防ぐ方法
ブルートフォースクラッキングを防ぐ一般的な方法は次のとおりです。
- パスワードの複雑さを増す:これにより、パスワードを推測するプロセスが大幅に時間がかかります。 たとえば、一部のウェブサイトでは、8-16文字のパスワードが必要で、少なくとも一つの文字と特殊文字(”など)が含まれています。,ユーザーが自分の名前、ユーザー名、またはIDをパスワードに含めることを許可しないこと。
- ログイン試行:ログイン試行を追加すると、パスワード/ユーザー名の入力で指定された試行量を超える指定された時間のユーザーがロックアウトされます。
- s:これらのボックスは、歪んだテキストを持つボックスを表示し、ボックス内のテキストが何であるかをユーザーに尋ねます。 これにより、ボットがブルートフォース攻撃に現れる自動化されたスクリプトを実行するのを防ぎますが、人間が通り過ぎるのは簡単です。,
- 二要素認証(多要素認証の一種):これは、認証のプライマリ形式にセキュリティの層を追加します。 たとえば、新しいAppleデバイスにサインインするには、ユーザーが以前に信頼されているとマークされている別のデバイスに表示される六桁のコードとともにApple IDを入力する必要があります。
ブルートフォース攻撃に対して保護する良い方法は、上記の戦略のすべてまたは組み合わせを使用することです。