כיום רוב רובן של ההתקפות או ניסיונות הפריצה לאתרים, מיילים, חשבונות בנק, חשבונות פייסבוק וכדומה הן התקפות מסוג Brute Force.
התקפת Brute Force (כוח גס) היא שיטה שבה תוקפים מנסים לפרוץ סיסמאות באמצעות ניסוי כל האפשרויות האפשריות בצורה שיטתית, עד למציאת האפשרות הנכונה.
עם התקדמות יכולות המחשוב, ובפרט הופעתן של קונפיגורציות מתקדמות כמו מחשוב מבוזר (פיצול משימה בין מספר מחשבים) ומכונות GPU (יחידות עיבוד גרפיות המאפשרות עיבוד מקבילי במהירות גבוהה), ניתן להריץ מיליוני ניסיונות בדקה, מה שהופך את התקיפה לאפקטיבית במערכות שבהן ההגנה בסיסמאות חלשה או שאינה מיישמת אמצעי נגד מתאימים.
במילים פשוטות, תוקף שמשתמש בהתקפה מסוג Brute Force ינסה לעבור על כל צירוף אפשרי של תווים כדי לנחש את הסיסמה הנכונה, החל מצירופים קצרים ופשוטים ועד למורכבים יותר, עד שיצליח.
התקפה זו יכולה להיות אפקטיבית בעיקר כשמדובר בסיסמאות פשוטות או קצרות, אך ככל שהסיסמה ארוכה ומורכבת יותר, כך כמות הצירופים האפשריים עולה בצורה אקספוננציאלית, ולכן זמן ההתקפה הופך ללא פרקטי, כיוון שהמערכות מזהות את ההתקפה וחוסמות את התוקפים, במילים אחרות סיסמה מורכבת וקשה עוזרת למערכת להגן על עצמה.
הסבר: כאשר פצחן מנסה ליישם התקפת Brute Force אנחנו רואים עליה במשאבי השרתים, לשמחתנו המערכות שלנו מזהות אלפי בקשות (ויותר) בדקות בודדות כמשהו לא סביר ופועלות בהתאם.
דרכים להגן מפני התקפות Brute Force:
שימוש בסיסמאות ארוכות ומורכבות: כך קשה יותר לנחש אותן, כמובן לא להשתמש במספרי טלפון או מספרי תעודת זהות, לשלב אותיות גדולות, אותיות קטנות, סימנים ומספרים, בנוסף אורך הסיסמה צריך להיות לפחות 8 תווים, המלצה 10 תווים ומעלה.
בנוסף בכל חשבון, מייל, אתר, פייסבוק וכדומה יש להשתמש באימות דו-שלבי (2FA): כך שגם אם סיסמה נפרצה, עדיין יש צורך בשלב נוסף לאימות.
עכשיו הפצחנים ינסו לפרוץ לכם לטלפון בשביל לעקוף את החסימה של 2FA, על זה במייל הבא....
