LH.pl · Dział pomocy
Jeśli jesteś aktywnym użytkownikiem internetu, to zapewne nie raz spotkałeś się z próbą wyłudzenia danych, przez hakerów niekoniecznie będąc tego świadomym. Ze względu na nieustanny wzrost popularności internetu oraz ilości spraw, jakie jesteśmy w stanie załatwić online ilość ataków cyberprzestępczych nieustannie wzrasta. Hakerzy szukają coraz to lepszych metod na złamanie naszych haseł, oszustwa i wyłudzenia ważnych dla nich informacji np. dane osobowe, pliki z ważnymi dokumentami, czy też informacje o karcie kredytowej, logowaniu do banku lub aby uzyskać dostęp do innych, równie cennych danych. Ataki cyberprzestępcze są opracowane w taki sposób, aby wyglądały na standardową procedurę lub wiarygodną stronę internetową. W tym artykule dowiesz się czym jest atak Brute Force i na co warto zwrócić uwagę, aby zwiększyć swoje bezpieczeństwo w sieci
Co to jest Brute Force?
Jest to jedna z najstarszych metod hakerskich, jednak cieszy się dużym powodzeniem. Polega przede wszystkim na łamaniu haseł dostępowych, jak również kluczy kryptograficznych poprzez losowe wpisywanie kombinacji znaków, jakie mogły zostać użyte podczas nadawania hasła przez właściciela usługi. Metoda ta jest doskonała zwłaszcza w sytuacji, kiedy hasło jest krótkie i mało skomplikowane. Ta forma ataku hakerskiego jest dość prosta w realizacji, natomiast może zająć stosunkowo dużo czasu, biorąc pod uwagę ilość kombinacji znaków i cyfr nadanych dla hasła. Współcześnie podczas ataków typu Brute Force używane są oprogramowania komputerowe, które wykorzystując posiadaną moc obliczeniową oraz procesory graficzne pozwalają na przyspieszenie tego procesu. Atak może zająć kilka dni, tygodni, a czasami nawet miesięcy. Wszystko zależy tak naprawdę od tego jak silne mamy hasło.
Rodzaje ataków Brute Force
Zanim powiem Ci, jak chronić się przed atakami Brute Force to warto, abyś miał świadomość, jakie są rodzaje ataków Brute Force:
- Simple Brute Force Attack – podczas tego ataku hakerzy wykorzystują wiele metod, których zadaniem jest odszukanie prawidłowych loginów oraz haseł dostępowych. Ilość prób jest nieograniczona. Polega przede wszystkim na że algorytm “zgaduje” dane dostępowe np. Login: Admin, Hasło: Admin123 (jest to chyba najgorsza pod względem bezpieczeństwa kombinacja, jaką możemy nadać).
- Credential stuffing – w tej metodzie hakerzy posługują się loginami, które pojawiły się już w innych miejscach logowania np. w socialmedia i w ten sposób stara się odgadnąć hasło.
- Dictionary Brute Force Attack – najprościej mówiąc jest to atak słownikowy, polega na wybraniu najczęściej stosowanego hasła np. “admin”, zwiększa to szanse na zalogowanie do konta.
- Hybrid Brute Force Attack – jak sama nazwa wskazuje ta metoda ataku polega przede wszystkim na połączeniu kilku metod hakerskich celem zwiększenia szansy na powodzenie włamania. Atakujący łączy w tej metodzie przede wszystkim atak prosty i słownikowy.
Jak zabezpieczyć się przed atakiem Brute Force?
Istnieje kilka podstawowych metod, które pozwalają na zwiększenie swojego bezpieczeństwa w sieci i zminimalizowanie szansy na to że hakerowi uda się naruszyć nasze hasło.
Zablokowanie adresów IP
Jeśli posiadasz dostęp do logów, w których widać dużą ilość prób logowania do Twojej witryny z podejrzanych adresów IP to jedną z metod jest ich zablokowanie. Pozwoli to na odciążenie serwera i blokowanie kolejnych prób ataku. Niestety należy podkreślić, że ta metoda ma jedną podstawową wadę, a mianowicie blokuje dość duże grupy użytkowników chcących odwiedzić stronę. Jest to natomiast jedna z najskuteczniejszych metod do walki z tego typu atakami. Oczywiście po skończonej próbie ataku zablokowane wcześniej adresy IP można odblokować.
CAPTCHA
Wykorzystanie na stronach internetowych zabezpieczenia w postaci CAPTCHA jest bardzo popularnym oraz sprawdzonym rozwiązaniem. Pozwala na odróżnienie działania człowieka od komputera. Zapewne nie raz spotkałeś się z captchą np. podczas wysłania wiadomości przez formularz kontaktowy. Użytkownik proszony jest o zaznaczenie okienka przed wysyłką wiadomości. Bardzo często podczas próby ataku, komputery, które wykryją to zabezpieczenie nie podejmują dalszych prób wyłudzenia danych. Jednym z najpopularniejszych rozwiązań jest reCAPTCHA.
Trudne hasło
Dobrym i skutecznym rozwiązaniem jest także wprowadzenie wymuszania na użytkownikach ustawienia trudnego i bezpiecznego hasła logowania. Skonstruowanie formularza w taki sposób, aby nie przepuszczał hasła, który nie ma minimum 8 znaków, dużej i małej litery, znaku specjalnego oraz cyfry spowoduje, że aby złamać takie hasło dostępowe konieczne będzie wprowadzenie aż 100 miliardów kombinacji. Pamiętaj także, że ustawienie trudnego hasła to nie wszystko. Duże znaczenie ma także sposób jego przechowywania. Jednym z najpopularniejszych oraz najbezpieczniejszych rozwiązań jest manager haseł.
Uwierzytelnienie dwuskładnikowe
Coraz więcej aplikacji wprowadza tę formę zabezpieczenia dla swoich użytkowników. Zabezpieczenie 2FA wymusza na użytkowniku dodatkowe potwierdzenie tożsamości. Logowanie z użyciem 2FA wydłuża cały proces logowania, natomiast niewątpliwie zwiększa bezpieczeństwo usługi i Twoich danych. Jedną z aplikacji, dzięki której możesz korzystać z logowania dwuskładnikowego jest Google Authenticator. Jest to Aplikacja Google, w której wygenerujesz sześć cyfr, a następnie musisz je wpisać w oknie logowania, po wpisaniu nazwy użytkownika i hasła. Stosując metodę uwierzytelniania dwuskładnikowego sprawisz, że cyberprzestępca będzie miał znacznie utrudnione zadani i złamanie hasła i uzyskanie dostępu do konta będzie znacznie utrudnione.
Zabezpieczenie panelu administrator dodatkowym hasłem
Jeśli korzystasz z serwera Apache to w pliku .htaccess możesz wprowadzić dodatkową formę zabezpieczającą logowanie do panelu administratora strony. Po wejściu na stronę pojawi Ci się okno, w którym będziesz musiał wpisać dodatkowe dane logowania. Dokładną instrukcję, jak to wykonać krok po kroku opisaliśmy w artykule Najprzydatniejsze reguły htaccess dla WordPressa.
Podsumowanie
Pamiętaj, że atak Brute Force jest tylko jedną z wielu form ataków cyberprzestępczych. Warto jednak znać najważniejsze formy wykorzystywane przez hakerów. Wzrost popularności internetu oraz użytkowników, którzy z niego korzystają powinno powodować zwiększenie świadomości dotyczącej bezpieczeństwa w sieci. Tworzenie silnych i bezpiecznych haseł jest podstawą. Ważne jednak, aby przechowywać je w odpowiednim miejscu. Nie zostawiaj nigdy danych logowania oraz dokumentów z danymi wrażliwymi na widoku. Chwila nieuwagi może doprowadzić do utraty Twoich danych, jak również środków pieniężnych na koncie. Mam nadzieje, że wiesz już czym jest atak Brute Force i jak się przed nim zabezpieczyć.
Przeczytaj także:
- Bezpieczeństwo od podstaw na przykładzie WordPressa
- Zasady bezpieczeństwa w Internecie od podstaw
- Jak bezpiecznie przekazać dostęp do serwera i strony webmasterowi lub agencji marketingowej?
- Czym jest spam i jak go skutecznie ograniczyć?
- Co to jest DKIM i DMARC?
- Co to jest DNSSEC?
- Jak zmienić adres strony logowania w WordPress?
- Co to jest phishing?
- Co to jest atak DDoS?