الصفحة الرئيسية » howto » شرح هجمات القوة الغاشمة كيف يكون كل التشفير ضعيفًا

    شرح هجمات القوة الغاشمة كيف يكون كل التشفير ضعيفًا

    تعتبر هجمات القوة الغاشمة سهلة الفهم إلى حد ما ، ولكن من الصعب حمايتها. التشفير هو الرياضيات ، وعندما تصبح أجهزة الكمبيوتر أسرع في الرياضيات ، تصبح أسرع في تجربة جميع الحلول ورؤية أي منها.

    يمكن استخدام هذه الهجمات ضد أي نوع من التشفير ، بدرجات متفاوتة من النجاح. تصبح هجمات القوة الغاشمة أسرع وأكثر فاعلية مع مرور كل يوم حيث يتم إطلاق أجهزة كمبيوتر جديدة أسرع.

    أساسيات القوة الغاشمة

    هجمات القوة الغاشمة سهلة الفهم. يحتوي المهاجم على ملف مشفر - على سبيل المثال ، قاعدة بيانات كلمات المرور الخاصة بـ LastPass أو KeePass. ﻳﻌﺮف أن هﺬا اﻟﻤﻠﻒ یﺤﺘﻮي ﻋﻠﻰ اﻟﺒﻴﺎﻧﺎت اﻟﺘﻲ ﻳﺮﻏﺒﻮن ﻓﻲ رؤیﺘﻬﺎ ، وهﻢ یﻌﺮﻓﻮن أن هﻨﺎك ﻣﻔﺘﺎح ﺕﺸﻔﻴﺮ یﻘﻮم ﺑﺈﻟﻐﺎﺋﻪ. لفك تشفيرها ، يمكنهم البدء في تجربة كل كلمة مرور ممكنة ومعرفة ما إذا كان ذلك يؤدي إلى ملف تم فك تشفيره.

    يفعلون ذلك تلقائيا مع برنامج كمبيوتر ، لذلك فإن السرعة التي يمكن لأي شخص أن يزيد من تشفيرها تشددا كلما أصبحت أجهزة الكمبيوتر المتاحة أسرع وأسرع ، وقادرة على إجراء المزيد من العمليات الحسابية في الثانية الواحدة. من المرجح أن يبدأ هجوم القوة الغاشمة عند كلمات المرور المكونة من رقم واحد قبل الانتقال إلى كلمات المرور المكونة من رقمين ، وهكذا ، جرب جميع التوليفات الممكنة حتى يعمل أحدهما.

    "هجوم القاموس" مماثل ويحاول الكلمات في قاموس - أو قائمة كلمات المرور الشائعة - بدلاً من كل كلمات المرور الممكنة. قد يكون هذا الأمر فعّالاً للغاية ، حيث يستخدم العديد من الأشخاص كلمات المرور الضعيفة والمشتركة هذه.

    لماذا لا يمكن للمهاجمين أن يقوموا بتجريب خدمات الويب

    هناك فرق بين هجمات القوة الغاشمة على الانترنت وغير متصل. على سبيل المثال ، إذا أراد أحد المهاجمين أن يشق طريقه إلى حساب Gmail ، فيمكنه البدء في تجربة كل كلمة مرور ممكنة - لكن Google ستقطعها بسرعة. ستعمل الخدمات التي توفر الوصول إلى مثل هذه الحسابات على خنق محاولات الوصول وحظر عناوين IP التي تحاول تسجيل الدخول عدة مرات. وبالتالي ، فإن الهجوم على خدمة عبر الإنترنت لن يعمل جيدًا نظرًا لأنه يمكن إجراء عدد قليل جدًا من المحاولات قبل وقف الهجوم.

    على سبيل المثال ، بعد بضع محاولات فاشلة لتسجيل الدخول ، سيعرض لك Gmail صورة CATPCHA لإثبات أنك لست جهاز كمبيوتر يحاول استخدام كلمات المرور تلقائيًا. من المحتمل أن يوقفوا محاولات الدخول الخاصة بك تمامًا إذا تمكنت من الاستمرار لفترة كافية.

    من ناحية أخرى ، لنفترض أن أحد المهاجمين قام بمخالفة ملف مشفر من جهاز الكمبيوتر الخاص بك أو تمكن من اختراق خدمة عبر الإنترنت وتنزيل هذه الملفات المشفرة. يمتلك المهاجم الآن البيانات المشفرة على أجهزته الخاصة ويمكنه تجربة العديد من كلمات المرور كما يريدون في أوقات فراغهم. إذا كان لديهم إمكانية الوصول إلى البيانات المشفرة ، فلا توجد طريقة لمنعهم من تجربة عدد كبير من كلمات المرور في فترة زمنية قصيرة. حتى لو كنت تستخدم تشفيرًا قويًا ، فمن المفيد أن تحافظ على بياناتك آمنة وتضمن عدم تمكن الآخرين من الوصول إليها.

    تجزئة

    يمكن لخوارزميات التجزئة القوية إبطاء هجمات القوة الغاشمة. بشكل أساسي ، تقوم خوارزميات التجزئة بإجراء أعمال حسابية إضافية على كلمة مرور قبل تخزين قيمة مشتقة من كلمة المرور على القرص. إذا تم استخدام خوارزمية تجزئة أبطأ ، فستحتاج إلى آلاف المرات من العمل الرياضي لمحاولة كل كلمة مرور وتبطئ بشكل كبير من هجمات القوة الغاشمة. ومع ذلك ، كلما تطلب الأمر مزيدًا من العمل ، زاد عدد المهام التي يتعين على الخادم أو أي كمبيوتر آخر القيام بها في كل مرة يقوم فيها المستخدم بتسجيل الدخول باستخدام كلمة المرور الخاصة به. يجب أن يعمل البرنامج على موازنة المرونة ضد هجمات القوة الغاشمة باستخدام الموارد.

    سرعة القوة الغاشمة

    سرعة كل شيء يعتمد على الأجهزة. قد تقوم وكالات الاستخبارات ببناء أجهزة متخصصة فقط من أجل هجمات القوة الغاشمة ، تماماً كما يقوم عمال المناجم من بيتكوين ببناء معداتهم الخاصة المثلى لتعدين البيتكوين. عندما يتعلق الأمر بالأجهزة الاستهلاكية ، فإن أكثر أنواع الأجهزة فعالية لهجمات القوة الغاشمة هو بطاقة الرسومات (GPU). نظرًا لأنه من السهل تجربة العديد من مفاتيح التشفير المختلفة في وقت واحد ، فإن العديد من بطاقات الرسومات التي تعمل بالتوازي مثالية.

    في نهاية عام 2012 ، أفادت Ars Technica أن مجموعة 25 وحدة معالجة الرسوميات يمكن أن تكسر كل كلمة مرور Windows تحت 8 أحرف في أقل من ست ساعات. خوارزمية NTLM التي استخدمتها Microsoft لم تكن مرنة بما فيه الكفاية. ومع ذلك ، عندما تم إنشاء NTLM ، كان يستغرق وقتًا أطول لتجربة كل كلمات المرور هذه. لم يعد هذا يعتبر تهديدًا لمايكروسوفت لجعل التشفير أقوى.

    تتزايد السرعة ، وقد نكتشف في غضون بضعة عقود أنه حتى أقوى خوارزميات التشفير ومفاتيح التشفير التي نستخدمها اليوم يمكن أن تتصدع بسرعة بواسطة أجهزة الكمبيوتر الكمومية أو أي أجهزة أخرى نستخدمها في المستقبل.

    حماية البيانات الخاصة بك من هجمات القوة الغاشمة

    لا توجد وسيلة لحماية نفسك تمامًا. من المستحيل تحديد السرعة التي ستحصل عليها أجهزة الكمبيوتر وما إذا كانت أي من خوارزميات التشفير التي نستخدمها اليوم تعاني من نقاط ضعف سيتم اكتشافها واستغلالها في المستقبل. ومع ذلك ، فإليك الأساسيات:

    • احتفظ ببياناتك المشفرة بأمان حيث لا يمكن للمهاجمين الوصول إليها. بمجرد نسخ البيانات الخاصة بك إلى أجهزتهم ، يمكنهم تجربة هجمات القوة الغاشمة ضدها في أوقات فراغهم.
    • إذا قمت بتشغيل أي خدمة تقبل عمليات تسجيل الدخول عبر الإنترنت ، فتأكد من أنها تحد من محاولات تسجيل الدخول وتحظر على الأشخاص الذين يحاولون تسجيل الدخول باستخدام العديد من كلمات المرور المختلفة في فترة زمنية قصيرة. يتم تعيين برنامج الخادم بشكل عام على القيام بذلك خارج المربع ، حيث إنه يمثل ممارسة أمان جيدة.
    • استخدم خوارزميات التشفير القوية ، مثل SHA-512. تأكد من عدم استخدام خوارزميات التشفير القديمة ذات نقاط الضعف المعروفة التي يسهل اختراقها.
    • استخدم كلمات مرور طويلة وآمنة. جميع تقنيات التشفير في العالم لن تساعد إذا كنت تستخدم "كلمة المرور" أو "hunter2" الأكثر شعبية.

    تعتبر هجمات القوة الغاشمة أمرًا يثير الاهتمام عند حماية بياناتك ، واختيار خوارزميات التشفير ، واختيار كلمات المرور. كما أنها سبب للحفاظ على تطوير خوارزميات تشفير أقوى - حيث أن التشفير يجب أن يواكب سرعة كونه غير فعال من خلال الأجهزة الجديدة.

    Image Credit: Johan Larsson on Flickr، Jeremy Gosney