Vi hører alle om, hvordan man skal bruge lange adgangskoder til sine konti – og man må aldrig genbruge dem! Men hvorfor er det lige sådan? Og hvordan kan dårlige adgangskoder påvirke ens virksomhed?
Hvad er et brute force-angreb?
Et brute force-angreb er en trial-and-error-metode, der bruges til at afkode følsomme data. De mest almindelige anvendelser for brute force-angreb er at knække adgangskoder og knække krypteringsnøgler.
Andre almindelige mål for brute force-angreb er API-nøgler og SSH-logins. Brute force-angreb udføres ofte af scripts eller bots, der forsøger at gætte loginoplysninger på hjemmesiders login-side. De kan også hente lækkede data ned og udføre brute force-angreb offline.
Det, der adskiller brute force-angreb fra andre cracking-metoder, er, at brute force-angreb ikke anvender en intellektuel strategi; de prøver simpelthen at bruge forskellige kombinationer af tegn, indtil den rigtige kombination er fundet. Det er lidt ligesom en tyv, der forsøger at bryde ind i et pengeskab ved at prøve enhver mulig kombination af tal i låsen, indtil pengeskabet åbner.
Hvad er styrkerne og svaghederne ved brute force-angreb?
De største fordele for hackere ved brute force-angreb er, at de er relativt enkle at udføre, og med nok tid og mangel på modforanstaltninger fra målet, virker de altid. Ethvert password-baseret system og krypteringsnøgle kan knækkes ved hjælp af et brute force-angreb. Faktisk er mængden af tid, det tager at brute force sig ind i et system, en nyttig målestok til at måle systemets sikkerhedsniveau.
På den anden side kan brute force-angreb tage meget lang tid, da de måske skal gennemløbe enhver mulig kombination af tegn, før en oplysning bliver gættet. Tiden det tager at gætte en oplysning stiger, når antallet af tegn i en oplysning stiger.
For eksempel tager en adgangskode på fire tegn betydeligt længere tid at brute force end en adgangskode på tre tegn, og en adgangskode på fem tegn tager væsentligt længere tid end en adgangskode på fire tegn. Når antallet af tegn når en vis mængde, bliver brute forcering af en korrekt randomiseret adgangskode meget svært.
Hvis en oplysning, f.eks. en adgangskode, er tilstrækkelig lang, kan det tage dage, måneder eller endda år at afkode en korrekt randomiseret adgangskode. Som et resultat af den nuværende tendens til at kræve længere adgangskoder og krypteringsnøgler, er brute force-angreb en del sværere. Når der bruges gode adgangskoder og kryptering, prøver hackere typisk andre metoder til kodebrydning, såsom social engineering eller on-path-angreb.
Sådan beskytter du din virksomhed mod brute force-angreb
Udviklere, der administrerer verificeringsssystemer, kan bruge sikkerhedsforanstaltninger såsom at låse IP-adresser ude, der har genereret for mange mislykkede logins, og indbygge en forsinkelse i deres software til kontrol af adgangskoder. En forsinkelse på blot et par sekunder kan i høj grad svække effektiviteten af et brute force-angreb.
Brugere af webtjenester kan mindske deres sårbarhed over for brute force-angreb ved at vælge længere, mere komplekse adgangskoder. Det anbefales også at aktivere to-faktor-godkendelse og bruge unikke adgangskoder til hver tjeneste (konto).
Hvis en hacker er i stand til at brute force en brugers adgangskode til én tjeneste, kan hackeren prøve at genbruge det samme login og adgangskode på mange andre populære tjenester. Dette er kendt som credential stuffing.
Brugere bør også undgå at indtaste adgangskoder eller personlige oplysninger såsom kreditkortnumre eller bankoplysninger på enhver webtjeneste, der ikke beskytter deres data med stærke krypteringsnøgler. Som virksomhed kan man tilbyde awareness-træning, der bl.a. Underviser medarbejderne i god adgangskode-hygiejne.