सफलता के विभिन्न डिग्री के साथ, इन हमलों का किसी भी प्रकार के एन्क्रिप्शन के खिलाफ उपयोग किया जा सकता है। ब्रूट-फोर्स हमले प्रत्येक गुजरने वाले दिन के साथ तेजी से और अधिक प्रभावी हो जाते हैं क्योंकि नए, तेज़ कंप्यूटर हार्डवेयर जारी किए जाते हैं।
ब्रूट फोर्स मूल बातें
ब्रूट-फोर्स हमले समझने के लिए सरल हैं। एक हमलावर के पास एक एन्क्रिप्टेड फ़ाइल है - कहें, आपका LastPass या KeePass पासवर्ड डेटाबेस। वे जानते हैं कि इस फ़ाइल में वह डेटा है जो वे देखना चाहते हैं, और वे जानते हैं कि एक एन्क्रिप्शन कुंजी है जो इसे अनलॉक करती है। इसे डिक्रिप्ट करने के लिए, वे प्रत्येक संभावित पासवर्ड को आजमा सकते हैं और देख सकते हैं कि परिणाम एक डिक्रिप्ट फ़ाइल में हैं या नहीं।
वे इसे कंप्यूटर प्रोग्राम के साथ स्वचालित रूप से करते हैं, इसलिए जिस गति पर कोई भी ब्रूट-फोर्स एन्क्रिप्शन बढ़ सकता है, उपलब्ध कंप्यूटर हार्डवेयर तेजी से और तेज हो जाता है, प्रति सेकेंड अधिक गणना करने में सक्षम होता है। ब्रूट-फोर्स अटैक दो-अंकों के पासवर्ड पर जाने से पहले एक अंकों के पासवर्ड से शुरू हो जाएगा और इसी तरह, एक काम तक सभी संभव संयोजनों को आजमाने की कोशिश कर रहा है।
एक "शब्दकोश हमला" समान है और किसी भी शब्दकोष में शब्दों की कोशिश करता है - या सामान्य पासवर्ड की एक सूची - सभी संभावित पासवर्ड के बजाय। यह बहुत प्रभावी हो सकता है, क्योंकि बहुत से लोग ऐसे कमजोर और सामान्य पासवर्ड का उपयोग करते हैं।
क्यों हमलावर ब्रूट-फोर्स वेब सेवाएं नहीं कर सकते हैं
ऑनलाइन और ऑफलाइन ब्रूट-फोर्स हमलों के बीच एक अंतर है। उदाहरण के लिए, यदि कोई हमलावर आपके जीमेल खाते में अपना रास्ता बनाना चाहता है, तो वे हर संभव पासवर्ड का प्रयास करना शुरू कर सकते हैं - लेकिन Google उन्हें जल्दी से काट देगा। ऐसी सेवाएं जो इस तरह के खातों तक पहुंच प्रदान करती हैं, एक्सेस प्रयासों को कम कर देती हैं और आईपी पते पर प्रतिबंध लगाती हैं जो कई बार लॉग इन करने का प्रयास करती हैं। इस प्रकार, ऑनलाइन सेवा के खिलाफ हमला बहुत अच्छा काम नहीं करेगा क्योंकि हमले को रोकने से पहले बहुत कम प्रयास किए जा सकते हैं।
उदाहरण के लिए, कुछ असफल लॉगिन प्रयासों के बाद, जीमेल आपको यह सत्यापित करने के लिए एक कैटचा छवि दिखाएगा कि आप स्वचालित रूप से पासवर्ड का प्रयास नहीं कर रहे कंप्यूटर हैं। यदि आप लंबे समय तक जारी रखने में कामयाब रहे तो वे आपके लॉगिन प्रयासों को पूरी तरह बंद कर देंगे।
hashing
मजबूत हैशिंग एल्गोरिदम ब्रूट-फोर्स हमलों को धीमा कर सकता है। अनिवार्य रूप से, हैशिंग एल्गोरिदम डिस्क पर पासवर्ड से प्राप्त मूल्य संग्रहीत करने से पहले पासवर्ड पर अतिरिक्त गणितीय कार्य करते हैं। यदि एक धीमी हैशिंग एल्गोरिदम का उपयोग किया जाता है, तो उसे प्रत्येक पासवर्ड को आजमाने के लिए हजारों गुना अधिक गणितीय काम की आवश्यकता होगी और नाटकीय रूप से क्रूर बल के हमलों को धीमा कर दिया जाएगा। हालांकि, जितना अधिक काम आवश्यक है, सर्वर या अन्य कंप्यूटर को जितना अधिक काम करना होगा, उपयोगकर्ता हर बार अपने पासवर्ड के साथ लॉग इन करता है। सॉफ्टवेयर संसाधन संसाधन के साथ ब्रूट-फोर्स हमलों के खिलाफ लचीलापन संतुलन रखना चाहिए।
ब्रूट फोर्स स्पीड
गति सभी हार्डवेयर पर निर्भर करता है। खुफिया एजेंसियां केवल ब्रूट-फोर्स हमलों के लिए विशेष हार्डवेयर का निर्माण कर सकती हैं, जैसे बिटकॉइन खनिक बिटकॉइन खनन के लिए अनुकूलित अपने विशेष हार्डवेयर का निर्माण करते हैं। जब उपभोक्ता हार्डवेयर की बात आती है, तो ब्रूट-फोर्स हमलों के लिए सबसे प्रभावी प्रकार का हार्डवेयर ग्राफिक्स कार्ड (जीपीयू) होता है। चूंकि कई बार कई अलग-अलग एन्क्रिप्शन कुंजीों को आजमाने में आसान है, समानांतर में चल रहे कई ग्राफिक्स कार्ड आदर्श हैं।
2012 के अंत में, आर्स टेक्निका ने बताया कि 25-जीपीयू क्लस्टर छह विंडोज़ से कम समय में 8 अक्षरों के तहत हर विंडोज पासवर्ड को क्रैक कर सकता है। माइक्रोसॉफ्ट का इस्तेमाल एनटीएलएम एल्गोरिदम बस लचीला नहीं था। हालांकि, जब एनटीएलएम बनाया गया था, तो इन सभी पासवर्डों को आजमाने में काफी समय लगेगा। इसे एन्क्रिप्शन को मजबूत बनाने के लिए माइक्रोसॉफ्ट के लिए पर्याप्त खतरा नहीं माना गया था।
गति बढ़ रही है, और कुछ दशकों में हम खोज सकते हैं कि आज भी सबसे मजबूत क्रिप्टोग्राफिक एल्गोरिदम और एन्क्रिप्शन कुंजी जो हम आज उपयोग करते हैं, उन्हें क्वांटम कंप्यूटर या भविष्य में जो भी हार्डवेयर उपयोग कर रहे हैं, उसे जल्दी से क्रैक किया जा सकता है।
ब्रूट-फोर्स अटैक से अपने डेटा की सुरक्षा
पूरी तरह से खुद को बचाने के लिए कोई रास्ता नहीं है। यह कहना असंभव है कि कंप्यूटर हार्डवेयर कितना तेज़ होगा और क्या आज हमारे द्वारा उपयोग किए जाने वाले एन्क्रिप्शन एल्गोरिदम में से कोई भी कमजोरियों की भविष्यवाणी करेगा और भविष्य में इसका शोषण किया जाएगा। हालांकि, यहां मूल बातें हैं:
- अपने एन्क्रिप्टेड डेटा को सुरक्षित रखें जहां हमलावरों तक पहुंच प्राप्त नहीं हो सकती है। एक बार जब उनके डेटा में उनके डेटा की प्रतिलिपि हो जाती है, तो वे अपने अवकाश पर इसके खिलाफ क्रूर बल के हमलों का प्रयास कर सकते हैं।
- यदि आप किसी भी सेवा को चलाते हैं जो इंटरनेट पर लॉग इन स्वीकार करता है, तो सुनिश्चित करें कि यह लॉगिन प्रयासों को सीमित करता है और उन लोगों को अवरुद्ध करता है जो कम समय में कई अलग-अलग पासवर्ड के साथ लॉग इन करने का प्रयास करते हैं। सर्वर सॉफ़्टवेयर आमतौर पर बॉक्स के बाहर ऐसा करने के लिए सेट होता है, क्योंकि यह एक अच्छी सुरक्षा अभ्यास है।
- एसएचए -512 जैसे मजबूत एन्क्रिप्शन एल्गोरिदम का प्रयोग करें। सुनिश्चित करें कि आप ज्ञात कमजोरियों के साथ पुराने एन्क्रिप्शन एल्गोरिदम का उपयोग नहीं कर रहे हैं जो क्रैक करना आसान है।
- लंबे, सुरक्षित पासवर्ड का प्रयोग करें। यदि आप "पासवर्ड" या हमेशा लोकप्रिय "शिकारी 2" का उपयोग कर रहे हैं तो दुनिया में सभी एन्क्रिप्शन तकनीक मदद नहीं करेगा।
ब्रूट-फोर्स हमले आपके डेटा की सुरक्षा करते समय, एन्क्रिप्शन एल्गोरिदम चुनने और पासवर्ड चुनने के बारे में चिंतित हैं। वे मजबूत क्रिप्टोग्राफिक एल्गोरिदम विकसित करने का भी एक कारण हैं - एन्क्रिप्शन को यह सुनिश्चित करना है कि इसे नए हार्डवेयर द्वारा कितनी तेजी से अप्रभावी किया जा रहा है।