ब्रूट-फोर्स हमलों की व्याख्या की गई कि कैसे सभी एन्क्रिप्शन कमजोर है
ब्रूट-बल के हमले समझने में काफी सरल हैं, लेकिन इससे बचाव करना मुश्किल है। एन्क्रिप्शन गणित है, और जैसे-जैसे कंप्यूटर गणित में तेज होते जाते हैं, वे सभी समाधानों की कोशिश में तेज होते जाते हैं और देखते हैं कि कौन सा फिट बैठता है.
इन हमलों का उपयोग किसी भी प्रकार के एन्क्रिप्शन के खिलाफ किया जा सकता है, जिसमें सफलता की डिग्री अलग-अलग होती है। ब्रूट-बल के हमले प्रत्येक गुजरते दिन के साथ नए, तेज कंप्यूटर हार्डवेयर जारी होने के साथ तेज और अधिक प्रभावी हो जाते हैं.
ब्रूट-फोर्स बेसिक्स
जानवर बल के हमलों को समझना आसान है। एक हमलावर के पास एक एन्क्रिप्टेड फ़ाइल है - कहते हैं, आपका लास्टपास या कीपास पासवर्ड डेटाबेस। वे जानते हैं कि इस फ़ाइल में वे डेटा हैं जिन्हें वे देखना चाहते हैं, और वे जानते हैं कि एक एन्क्रिप्शन कुंजी है जो इसे अनलॉक करती है। इसे डिक्रिप्ट करने के लिए, वे हर एक संभव पासवर्ड को ट्राई करना शुरू कर सकते हैं और देख सकते हैं कि यह डिक्रिप्टेड फ़ाइल में परिणाम है या नहीं.
वे कंप्यूटर प्रोग्राम के साथ स्वचालित रूप से ऐसा करते हैं, इसलिए जिस गति से एन्क्रिप्शन को ब्रूट-फोर्स एन्क्रिप्शन बढ़ा सकते हैं, उपलब्ध कंप्यूटर हार्डवेयर तेजी से और तेज हो जाता है, प्रति सेकंड अधिक गणना करने में सक्षम है। ब्रूट-बल का हमला संभवतः दो-अंकों के पासवर्ड और इतने पर आगे बढ़ने से पहले एक-अंकों के पासवर्ड पर शुरू होगा, जब तक कि यह काम नहीं करता.
एक "डिक्शनरी अटैक" समान है और सभी संभावित पासवर्डों के बजाय शब्दकोश में शब्दों की कोशिश करता है - या सामान्य पासवर्ड की सूची। यह बहुत प्रभावी हो सकता है, क्योंकि कई लोग ऐसे कमजोर और सामान्य पासवर्ड का उपयोग करते हैं.
हमलावर क्यों नहीं कर सकते जानवर-सेना वेब सेवाएँ
ऑनलाइन और ऑफलाइन ब्रूट-फोर्स हमलों के बीच अंतर है। उदाहरण के लिए, यदि कोई हमलावर आपके Gmail खाते में अपनी तरह से बल डालना चाहता है, तो वे हर एक संभव पासवर्ड की कोशिश करना शुरू कर सकते हैं - लेकिन Google जल्दी से उन्हें काट देगा। ऐसे खाते तक पहुँच प्रदान करने वाली सेवाएँ पहुँच के प्रयासों को विफल कर देंगी और कई बार लॉग इन करने की कोशिश करने वाले IP पतों पर प्रतिबंध लगा देंगी। इस प्रकार, एक ऑनलाइन सेवा के खिलाफ एक हमला बहुत अच्छी तरह से काम नहीं करेगा क्योंकि हमले को रोकने से पहले बहुत कम प्रयास किए जा सकते हैं.
उदाहरण के लिए, कुछ असफल लॉगिन प्रयासों के बाद, जीमेल आपको सत्यापित करने के लिए एक CATPCHA छवि दिखाएगा कि आप स्वचालित रूप से पासवर्ड की कोशिश कर रहे कंप्यूटर नहीं हैं। यदि आप लंबे समय तक जारी रखने में कामयाब रहे तो वे आपके लॉगिन प्रयासों को पूरी तरह से रोक देंगे.
दूसरी ओर, मान लें कि किसी हमलावर ने आपके कंप्यूटर से एन्क्रिप्ट की गई फ़ाइल को छीन लिया या ऑनलाइन सेवा से समझौता करने और ऐसी एन्क्रिप्टेड फ़ाइलों को डाउनलोड करने में कामयाब रहा। हमलावर के पास अब अपने स्वयं के हार्डवेयर पर एन्क्रिप्टेड डेटा है और वे अपने अवकाश पर जितने चाहें उतने पासवर्ड आज़मा सकते हैं। यदि उनके पास एन्क्रिप्टेड डेटा तक पहुंच है, तो कम समय में बड़ी संख्या में पासवर्ड की कोशिश करने से रोकने का कोई तरीका नहीं है। यहां तक कि अगर आप मजबूत एन्क्रिप्शन का उपयोग कर रहे हैं, तो यह आपके डेटा को सुरक्षित रखने और दूसरों को इसे एक्सेस नहीं करने के लिए सुनिश्चित करने के लिए आपके लाभ के लिए है.
hashing
मजबूत हैशिंग एल्गोरिदम जानवर-बल के हमलों को धीमा कर सकता है। अनिवार्य रूप से, हैशिंग एल्गोरिदम डिस्क पर पासवर्ड से प्राप्त मूल्य को संग्रहीत करने से पहले एक पासवर्ड पर अतिरिक्त गणितीय कार्य करते हैं। यदि धीमी गति से हैशिंग एल्गोरिथ्म का उपयोग किया जाता है, तो प्रत्येक पासवर्ड को आजमाने के लिए हजारों बार गणितीय कार्य की आवश्यकता होगी और नाटकीय रूप से ब्रूट-बल हमलों को धीमा करना होगा। हालाँकि, जितने अधिक काम की आवश्यकता होती है, उतना ही अधिक काम सर्वर या अन्य कंप्यूटर को हर बार करना पड़ता है क्योंकि उपयोगकर्ता अपने पासवर्ड के साथ लॉग इन करता है। सॉफ़्टवेयर को संसाधन उपयोग के साथ जानवर के बल के हमलों के खिलाफ लचीलापन को संतुलित करना चाहिए.
ब्रूट-फोर्स स्पीड
स्पीड सभी हार्डवेयर पर निर्भर करती है। इंटेलिजेंस एजेंसियां केवल ब्रूट-फोर्स हमलों के लिए विशेष हार्डवेयर का निर्माण कर सकती हैं, जैसे कि बिटकॉइन खननकर्ता बिटकॉइन खनन के लिए अनुकूलित अपने विशेष हार्डवेयर का निर्माण करते हैं। जब उपभोक्ता हार्डवेयर की बात आती है, तो जानवर-बल के हमलों के लिए सबसे प्रभावी प्रकार का ग्राफिक्स कार्ड (GPU) है। जैसा कि एक साथ कई अलग-अलग एन्क्रिप्शन कुंजियों को आज़माना आसान है, समानांतर में चलने वाले कई ग्राफिक्स कार्ड आदर्श हैं.
2012 के अंत में, अर्स टेक्निका ने बताया कि 25-जीपीयू क्लस्टर प्रत्येक विंडोज पासवर्ड को 8 वर्णों के तहत छह घंटे से कम समय में क्रैक कर सकता है। एनटीएलएम एल्गोरिथ्म माइक्रोसॉफ्ट का इस्तेमाल सिर्फ इतना लचीला नहीं था। हालाँकि, जब NTLM बनाया गया था, तो इन सभी पासवर्डों को आज़माने में अधिक समय लगेगा। यह एन्क्रिप्शन को मजबूत बनाने के लिए Microsoft के लिए पर्याप्त खतरा नहीं माना गया था.
गति बढ़ रही है, और कुछ दशकों में हमें पता चल सकता है कि आज भी उपयोग की जाने वाली सबसे मजबूत क्रिप्टोग्राफिक एल्गोरिदम और एन्क्रिप्शन कुंजियां क्वांटम कंप्यूटर या भविष्य में हम जो भी अन्य हार्डवेयर का उपयोग कर रहे हैं, उसे जल्दी से फटा जा सकता है।.
ब्रूट-फोर्स हमलों से अपने डेटा की रक्षा करना
अपने आप को पूरी तरह से बचाने का कोई तरीका नहीं है। यह कहना असंभव है कि कंप्यूटर हार्डवेयर कितनी तेजी से मिलेगा और क्या आज हम जो भी एन्क्रिप्शन एल्गोरिदम इस्तेमाल करते हैं उनमें कमियां हैं जिन्हें भविष्य में खोजा जाएगा और उनका दोहन किया जाएगा। हालाँकि, यहाँ मूल बातें हैं:
- अपने एन्क्रिप्ट किए गए डेटा को सुरक्षित रखें जहां हमलावरों को इस तक पहुंच नहीं मिल सकती है। एक बार जब वे आपके डेटा को अपने हार्डवेयर में कॉपी कर लेते हैं, तो वे अपने अवकाश पर इसके खिलाफ क्रूरतापूर्ण हमलों की कोशिश कर सकते हैं.
- यदि आप इंटरनेट पर लॉगइन स्वीकार करने वाली कोई सेवा चलाते हैं, तो सुनिश्चित करें कि यह लॉगिन प्रयासों को सीमित करता है और उन लोगों को ब्लॉक करता है जो थोड़े समय में कई अलग-अलग पासवर्ड से लॉग इन करने का प्रयास करते हैं। सर्वर सॉफ्टवेयर आम तौर पर इस बॉक्स से बाहर करने के लिए सेट है, क्योंकि यह एक अच्छा सुरक्षा अभ्यास है.
- मजबूत एन्क्रिप्शन एल्गोरिदम का उपयोग करें, जैसे SHA-512। सुनिश्चित करें कि आप पुराने एन्क्रिप्शन एल्गोरिदम का उपयोग नहीं कर रहे हैं जो ज्ञात कमजोरियों के साथ दरार करने में आसान हैं.
- लंबे, सुरक्षित पासवर्ड का उपयोग करें। यदि आप "पासवर्ड" या कभी-कभी लोकप्रिय "hunter2" का उपयोग कर रहे हैं, तो दुनिया की सभी एन्क्रिप्शन तकनीक मदद करने वाली नहीं है।.
अपने डेटा की सुरक्षा, एन्क्रिप्शन एल्गोरिदम का चयन, और पासवर्ड का चयन करते समय ब्रूट-बल हमलों के बारे में चिंतित होना चाहिए। वे मजबूत क्रिप्टोग्राफिक एल्गोरिदम को विकसित करने का एक कारण भी हैं - एन्क्रिप्शन को अपने हार्डवेयर के साथ अप्रभावी होने का कितनी तेजी से सामना करना पड़ता है.
इमेज क्रेडिट: फ़्लिकर, जेरेमी गोस्नी पर जोहान लार्सन