حملات Brute Force - تعریف و پیشگیری

روش‌های زیادی وجود دارد که هکرها برای ورود به رایانه، شبکه رایانه‌ای، وب‌سایت یا سرویس آنلاین استفاده می‌کنند. انجام حمله Brute Force(Brute Force Attack) یکی از آنهاست. این یکی از ساده‌ترین و در عین حال زمان‌برترین روش‌ها برای هک کردن یک سرور یا یک کامپیوتر معمولی است. مکانیسم حمله Brute force مزایای خود را دارد - همچنین می توان از آن برای بررسی امنیت شبکه و بازیابی رمزهای عبور فراموش شده استفاده کرد. در این پست سعی می کنیم تعریف Brute Force Attack را بفهمیم و روش اصلی پیشگیری را ببینیم.

حملات Brute Force

حمله Brute Force نوعی حمله سایبری(Cyber Attack) است که در آن شما نرم‌افزاری دارید که کاراکترهای مختلف را برای ایجاد یک ترکیب رمز عبور ممکن می‌چرخاند. نرم افزار شکستن رمز عبور Brute Force Attack به سادگی از تمام ترکیبات ممکن برای کشف رمزهای عبور یک کامپیوتر یا سرور شبکه استفاده می کند. این ساده است و از هیچ تکنیک هوشمندی استفاده نمی کند. از آنجایی که مبتنی بر ریاضی است، شکستن رمز عبور با استفاده از برنامه‌های brute force به جای کشف دستی آن‌ها، زمان کمتری می‌برد. من گفتم مبتنی بر ریاضیات چون کامپیوترها در ریاضیات خوب هستند و چنین محاسباتی را در کسری از ثانیه در مقایسه با مغز انسان انجام می دهند که ایجاد ترکیبات بیشتر طول می کشد.

حملات Brute Force

Brute Force Attack بسته به فردی که از آن استفاده می کند خوب یا بد است. این می تواند یک مجرم سایبری باشد که سعی دارد به یک سرور شبکه هک کند یا می تواند یک مدیر شبکه باشد که سعی می کند امنیت شبکه خود را ببیند. برخی از کاربران رایانه نیز از برنامه های brute force برای بازیابی رمزهای عبور فراموش شده استفاده می کنند.

سرعت محاسبات و رمزهای عبور در حملات Brute Force مهم هستند(Brute Force Attacks)

اگر از تمام حروف کوچک و بدون کاراکتر یا رقم خاصی استفاده می‌کنید، ممکن است فقط 2 تا 10 دقیقه طول بکشد تا حمله brute force بتواند رمز عبور را بشکند. با این حال، ترکیبی از حروف بزرگ و کوچک همراه با یک رقم (با فرض وجود هشت رقم)، بیش از 14-15 سال طول می کشد تا رمز عبور شکسته شود.

این همچنین به سرعت پردازنده رایانه بستگی دارد، به اینکه چه مدت طول می کشد تا رمز عبور شبکه را شکسته یا ورود عادی به رایانه مستقل ویندوز را انجام دهید.(Windows)

بنابراین داشتن رمزهای عبور قوی بسیار منطقی است. برای ایجاد رمزهای عبور واقعا قوی، می توانید از کاراکترهای ASCII برای ایجاد رمزهای عبور قوی تر استفاده کنید. کاراکترهای ASCII(ASCII characters) به همه کاراکترهای موجود در صفحه کلید و موارد دیگر اشاره دارد (شما می توانید آنها را با فشار دادن ALT+numbers (0-255) در Numpad مشاهده کنید). حدود 255 کاراکتر ASCII وجود دارد و هر کدام دارای یک کد است که توسط ماشین خوانده می شود و به باینری (0 یا 1) تبدیل می شود تا بتوان از آن در رایانه استفاده کرد. به عنوان مثال، کد ASCII برای "فضا" 32 است. هنگامی که شما یک فاصله را وارد می کنید، کامپیوتر آن را به عنوان 32 می خواند و آن را به باینری تبدیل می کند - که می شود 10000. این 1، 0، 0، 0، 0، 0 ذخیره می شوند. به صورت روشن، خاموش(OFF) ،OFF ، OFF ، OFF ، OFF در حافظه کامپیوتر (که از سوئیچ های الکترونیکی ساخته شده است). این ربطی به brute force ندارد به جز اینکه در صورت استفاده از تمام کاراکترهای ASCII(ASCII) در صورت استفاده از کاراکترهای خاص در رمز عبور، کل زمان صرف شده برای شکستن رمز عبور ممکن است بیش از 100 سال یا بیشتر طول بکشد. من درباره ASCII برای افرادی صحبت کردم که نمی دانند کاراکترها چگونه در حافظه رایانه ذخیره می شوند.

در اینجا پیوندی(Here is a link) به یک ماشین حساب رمز عبور Brute Force(Brute Force Password Calculator) وجود دارد که در آن می توانید بررسی کنید که شکستن یک رمز عبور چقدر طول می کشد. گزینه های مختلفی وجود دارد که شامل حروف کوچک، حروف بزرگ، ارقام و تمام کاراکترهای ASCII(ASCII) می شود. بر اساس آنچه در رمز عبور خود استفاده کرده‌اید، گزینه‌ها را انتخاب کنید و روی محاسبه کلیک کنید تا ببینید که حمله Brute force چقدر سخت است که رایانه یا سرور شما را به خطر بیندازد.

brute-force-password-calculator

(Brute Force Attack Prevention)پیشگیری و حفاظت (Protection)از حمله نیروی بی رحم

از آنجایی که هیچ منطق خاصی در حملات brute force اعمال نمی شود به جز برای آزمایش ترکیب های مختلف کاراکترهایی که برای ایجاد رمز عبور استفاده می شوند، پیشگیری در سطح بسیار ابتدایی نسبتا آسان است.

جدا از استفاده از سیستم عامل ویندوز(Windows) و نرم افزار امنیتی کاملاً به روز شده، باید از رمز عبور قوی(strong password) استفاده کنید که دارای برخی از ویژگی های زیر باشد:

  1. حداقل یک حرف بزرگ
  2. حداقل یک رقمی
  3. حداقل یک شخصیت خاص
  4. رمز عبور باید حداقل 8-10 کاراکتر باشد
  5. در صورت تمایل، کاراکترهای ASCII.

هر چه رمز عبور طولانی تر باشد، زمان بیشتری برای شکستن رمز عبور نیاز است. اگر رمز عبور شما چیزی شبیه به "PA$$w0rd" باشد، بیش از 100 سال طول می کشد تا آن را با برنامه های حمله brute force موجود در حال حاضر شکست دهید. لطفاً از رمز عبور پیشنهادی در مثال استفاده نکنید، زیرا شکستن آن با استفاده از نرم افزارهای هوشمندی که از قلمرو حملات brute force خارج می شود بسیار آسان است.

PassBox نرم افزار رایگان ما یک ابزار کوچک مفید است که همه رمزهای عبور شما را به خاطر می آورد و حتی رمزهای عبور قوی برای حساب شما ایجاد می کند - یا می توانید از یک تولید کننده رمز عبور آنلاین(online password generator ) رایگان برای ایجاد گذرواژه های قوی به صورت ناشناس استفاده کنید. پس از انجام این کار، رمز عبور جدید خود را با Password Checker مایکروسافت آزمایش کنید . Password Checker قدرت رمز عبور شما را هنگام تایپ ارزیابی می کند.

مطالب مرتبط(Related read) : حمله اسپری رمز عبور(Password Spray Attack) چیست؟

اگر از نرم‌افزار وب‌سایت وردپرس(WordPress) استفاده می‌کنید، افزونه‌های امنیتی وردپرس(WordPress) زیادی نیز وجود دارند که به‌طور خودکار حملات brute force را مسدود می‌کنند. استفاده از فایروال وب مانند Sucuri یا Cloudflare گزینه دیگری است که می توانید در نظر بگیرید. یکی از راه های مسدود کردن حملات brute-force قفل کردن حساب ها پس از تعداد معینی از تلاش های ناموفق رمز عبور است. افزونه Limit Logins WordPress(Limit Logins WordPress) برای جلوگیری از حملات brute force به وبلاگ شما خوب است. اقدامات دیگر شامل اجازه ورود فقط از آدرس‌های IP منتخب، تغییر URLهای(URLs) ورود پیش‌فرض به موارد دیگر و استفاده از Captcha برای تقویت امنیت وبلاگ وردپرس است(harden your WordPress blog security) .

در ادامه بخوانید(Read next) : چگونه حملات Brute Force را در سرور ویندوز مسدود کنیم .



برزویه باستانی

About the author

من یک مهندس نرم افزار و وبلاگ نویس با نزدیک به 10 سال تجربه در این زمینه هستم. من در ایجاد بررسی ابزارها و آموزش‌ها برای پلتفرم‌های مک و ویندوز، و همچنین ارائه نظرات تخصصی درباره موضوعات توسعه نرم‌افزار تخصص دارم. من همچنین یک سخنران و مدرس حرفه ای هستم و در کنفرانس های فناوری در سراسر جهان ارائه کرده ام.


Related posts