Tấn công Brute Force là gì?
Tấn công brute force sử dụng phương thức thử và sai để đoán thông tin đăng nhập, khóa mã hóa hoặc tìm một trang web ẩn. Tin tặc sẽ rà soát tất cả các tổ hợp có thể với hy vọng đoán đúng.
Những cuộc tấn công này được thực hiện bằng "sức mạnh thô bạo" nghĩa là chúng sử dụng các nỗ lực mạnh quá mức để thử và "cưỡng ép" theo cách của chúng để vào (các) tài khoản riêng của bạn.
Đây là phương thức tấn công cũ nhưng vẫn hiệu quả và phổ biến với tin tặc. Vì tùy thuộc vào độ dài và độ phức tạp của mật khẩu, việc bẻ khóa có thể mất từ vài giây đến nhiều năm.
Tin tặc được lợi gì từ các cuộc tấn công Brute Force?
Những kẻ tấn công brute force phải nỗ lực một chút để gặt hái thành quả từ những mưu đồ này. Mặc dù công nghệ khiến mọi việc dễ dàng hơn, bạn vẫn có thể thắc mắc: tại sao người ta lại làm việc này?
Sau đây là cách tin tặc được hưởng lợi từ các cuộc tấn công brute force:
- Kiếm lợi nhuận từ quảng cáo hoặc thu thập dữ liệu hoạt động
- Đánh cắp dữ liệu cá nhân và những thông tin có giá trị
- Phát tán phần mềm độc hại để gây gián đoạn
- Chiếm đoạt hệ thống của bạn để thực hiện hành vi độc hại
- Hủy hoại danh tiếng của một trang web
Kiếm lợi nhuận từ quảng cáo hoặc thu thập dữ liệu hoạt động.
Tin tặc có thể khai thác một trang web bên cạnh những trang web khác để kiếm hoa hồng quảng cáo. Để thực hiện việc này, các cách phổ biến bao gồm:
- Đặt quảng cáo rác trên một trang web có nhiều người truy cập để kiếm tiền mỗi khi khách truy cập nhấn vào hoặc xem một quảng cáo.
- Chuyển hướng lưu lượng truy cập của một trang web đến các trang web quảng cáo được trả hoa hồng.
- Dùng phần mềm độc hại theo dõi hoạt động để làm lây nhiễm một trang web hoặc những người truy cập – thường là phần mềm gián điệp. Dữ liệu được bán cho các nhà quảng cáo để giúp họ cải thiện hoạt động tiếp thị mà không có sự đồng ý của bạn.
Đánh cắp dữ liệu cá nhân và những thông tin có giá trị.
Việc đột nhập vào các tài khoản trực tuyến cũng giống như việc mở két ngân hàng: mọi thứ từ tài khoản ngân hàng cho đến thông tin thuế đều có thể tìm thấy trực tuyến. Tất cả những việc cần làm là đột nhập đúng lúc, tội phạm có thể trộm cắp danh tính, tiền bạc hoặc bán thông tin đăng nhập cá nhân của bạn để kiếm lời. Đôi khi, cơ sở dữ liệu nhạy cảm của toàn bộ tổ chức có thể bị phơi bày trong các vụ vi phạm dữ liệu ở cấp công ty.
Phát tán phần mềm độc hại để gây gián đoạn vì lợi ích của nó.
Nếu tin tặc muốn gây rối hoặc thực hành kỹ năng của mình, chúng có thể chuyển hướng lưu lượng truy cập của một trang web đến các trang web độc hại. Ngoài ra, chúng có thể trực tiếp lây nhiễm một trang web bằng phần mềm độc hại ẩn giấu được cài đặt trên máy tính của khách truy cập.
Chiếm đoạt hệ thống của bạn để thực hiện hành vi độc hại.
Khi một máy là không đủ, tin tặc sẽ huy động một đội quân các thiết bị không ngờ tới được gọi là botnet để đẩy nhanh nỗ lực của chúng. Phần mềm độc hại có thể xâm nhập vào máy tính, thiết bị di động hoặc tài khoản trực tuyến của bạn để thực hiện giả mạo bằng thư rác, tăng cường tấn công brute force và nhiều nữa. Nếu bạn không có hệ thống diệt virus, bạn có thể có nguy cơ bị lây nhiễm cao hơn.
Hủy hoại danh tiếng của một trang web.
Nếu bạn điều hành một trang web và trở thành mục tiêu phá hoại, tội phạm mạng có thể quyết định phát tán nội dung bẩn vào trang web của bạn. Điều này có thể bao gồm văn bản, hình ảnh và âm thanh có tính chất bạo lực, khiêu dâm hoặc xúc phạm chủng tộc.
Các loại tấn công Brute Force
Mỗi cuộc tấn công brute force có thể sử dụng nhiều phương thức khác nhau để tìm ra dữ liệu nhạy cảm của bạn. Bạn có thể bị phơi nhiễm trước bất kỳ phương thức tấn công brute force phổ biến nào sau đây:
- Tấn công Brute Force đơn giản
- Tấn công từ điển
- Tấn công Brute Force kết hợp
- Tấn công Brute Force đảo ngược
- Nhồi nhét thông tin đăng nhập
Tấn công brute force đơn giản: tin tặc cố gắng đoán theo lôgic thông tin đăng nhập của bạn – hoàn toàn không cần sự hỗ trợ của các công cụ phần mềm hoặc phương tiện khác. Những thứ này có thể tiết lộ mật khẩu và mã PIN cực kỳ đơn giản. Chẳng hạn, mật khẩu được đặt là “guest12345”.
Tấn công từ điển: trong một cuộc tấn công tiêu chuẩn, tin tặc sẽ chọn một mục tiêu và chạy các mật khẩu có thể có với tên người dùng đó. Đây được gọi là tấn công từ điển. Tấn công từ điển là công cụ cơ bản nhất trong tấn công brute force. Mặc dù bản thân chúng không nhất thiết là các cuộc tấn công brute force, nhưng chúng thường được sử dụng như một thành phần quan trọng để bẻ khóa mật khẩu. Một số tin tặc chạy qua các từ điển chưa được rút gọn và thêm các từ với các ký tự đặc biệt và số hoặc sử dụng các từ điển từ đặc biệt, nhưng kiểu tấn công tuần tự này rất cồng kềnh.
Tấn công brute force kết hợp: những tin tặc này kết hợp các phương tiện bên ngoài với suy đoán lôgic của chúng để cố gắng đột nhập. Một cuộc tấn công kết hợp thường kết hợp giữa tấn công từ điển và brute force. Các cuộc tấn công này được dùng để tìm ra tổ hợp mật khẩu kết hợp giữa các từ thông dụng với các ký tự ngẫu nhiên. Một ví dụ về tấn công brute force thuộc loại này sẽ bao gồm các mật khẩu như NewYork1993 or Spike1234.
Tấn công brute force đảo ngược: đúng như tên gọi, tấn công brute force đảo ngược sẽ đảo ngược chiến lược tấn công bằng cách bắt đầu với một mật khẩu đã biết. Sau đó, tin tặc sẽ tìm kiếm hàng triệu tên người dùng cho đến khi tìm thấy tên trùng khớp. Nhiều tên tội phạm trong số này bắt đầu bằng các mật khẩu bị rò rỉ có sẵn trực tuyến lấy từ các vụ vi phạm dữ liệu hiện có.
Nhồi nhét thông tin đăng nhập: nếu tin tặc có tổ hợp tên người dùng-mật khẩu có hiệu quả với một trang web, chúng sẽ thử với hàng loạt các trang web khác. Vì người dùng thường sử dụng lại thông tin đăng nhập trên nhiều trang web, họ là mục tiêu độc quyền của một cuộc tấn công như thế này.
Các công cụ hỗ trợ cho những nỗ lực tấn công brute force
Việc đoán mật khẩu của một người dùng hoặc trang web cụ thể có thể mất nhiều thời gian, vì vậy tin tặc đã phát triển các công cụ để giúp làm việc này nhanh hơn.
Các công cụ tự động trợ giúp các cuộc tấn công brute force. Các công cụ này sử dụng kỹ thuật đoán nhanh được xây dựng để tạo ra mọi mật khẩu có thể và cố gắng sử dụng chúng. Phần mềm xâm nhập brute force có thể tìm ra mật khẩu của một từ trong từ điển trong vòng một giây.
Các công cụ như vậy có các giải pháp thay thế được lập trình sẵn để:
- Làm việc chống lại nhiều giao thức máy tính (như FTP, MySQL, SMPT và Telnet)
- Cho phép tin tặc bẻ khóa các modem không dây.
- Xác định các mật khẩu yếu
- Giải mã mật khẩu trong bộ nhớ được mã hóa.
- Dịch các từ sang ký tự thay thế – chẳng hạn, "don'thackme" sẽ trở thành "d0n7H4cKm3".
- Chạy tất cả các kết hợp ký tự có thể.
- Thực hiện tấn công từ điển.
Một số công cụ quét các bảng cầu vồng được tính toán trước để tìm dữ liệu đầu vào và đầu ra của các hàm băm đã biết. Các "hàm băm" này là các phương thức mã hóa dựa trên thuật toán được dùng để dịch mật khẩu thành chuỗi chữ cái và số dài và có độ dài cố định. Nói cách khác, bảng cầu vồng loại bỏ phần khó nhất của tấn công brute force để đẩy nhanh quá trình.
GPU tăng tốc nỗ lực brute force
Cần rất nhiều trí tuệ máy tính để chạy phần mềm mật khẩu brute force. Rất tiếc, tin tặc đã tìm ra giải pháp phần cứng giúp phần việc này trở nên dễ dàng hơn rất nhiều.
Việc kết hợp CPU và bộ xử lý đồ họa (GPU) giúp đẩy nhanh sức mạnh tính toán. Bằng cách thêm hàng nghìn lõi tính toán vào GPU để xử lý, việc này cho phép hệ thống xử lý nhiều nhiệm vụ cùng lúc. Xử lý GPU được sử dụng cho các mục đích phân tích, kỹ thuật và các ứng dụng tính toán chuyên sâu khác. Tin tặc sử dụng phương thức này có thể bẻ khóa mật khẩu nhanh hơn khoảng 250 lần so với chỉ sử dụng CPU.
Vậy, mất bao lâu để bẻ khóa một mật khẩu? Nhìn rộng hơn, một mật khẩu gồm sáu ký tự bao gồm cả số có thể có khoảng 2 tỷ khả năng kết hợp. Việc bẻ khóa nó bằng một CPU mạnh có thể thử 30 mật khẩu mỗi giây sẽ mất hơn hai năm. Việc thêm một thẻ GPU mạnh cho phép máy tính đó kiểm tra 7.100 mật khẩu mỗi giây và giải mã mật khẩu trong 3,5 ngày.
Các bước để bảo vệ mật khẩu cho chuyên gia
Để bảo vệ bạn và mạng của bạn an toàn, bạn nên thực hiện các biện pháp phòng ngừa và giúp người khác cũng làm như vậy. Hành vi của người dùng và các hệ thống bảo mật mạng đều cần được củng cố.
Đối với các chuyên gia CNTT và người dùng tương tự, bạn sẽ muốn ghi nhớ một số lời khuyên chung sau:
- Sử dụng tên người dùng và mật khẩu nâng cao. Tự bảo vệ mình bằng thông tin đăng nhập mạnh hơn admin và password1234 để ngăn chặn những kẻ tấn công này. Sự kết hợp này càng mạnh thì càng khó để ai đó có thể phá nó.
- Xóa mọi tài khoản không sử dụng được cấp quyền ở mức cao. Đây là mạng tương đương với cửa có ổ khóa yếu khiến việc đột nhập trở nên dễ dàng. Những tài khoản không được bảo trì là một lỗ hổng bảo mật mà bạn không thể mạo hiểm. Hãy bỏ chúng đi càng sớm càng tốt.
Khi đã nắm được những điều cơ bản, bạn sẽ muốn tăng cường bảo mật và thu hút người dùng tham gia.
Chúng tôi sẽ bắt đầu với những gì bạn có thể làm ở hạ tầng, sau đó đưa ra các mẹo để hỗ trợ thói quen an toàn.
Bảo vệ hạ tầng thụ động cho mật khẩu
Tỷ lệ mã hóa cao: để khiến các cuộc tấn công brute force khó thành công hơn, các quản trị viên hệ thống cần đảm bảo rằng mật khẩu cho hệ thống của họ được mã hóa với tỷ lệ mã hóa cao nhất có thể, chẳng hạn như mã hóa 256 bit. Chương trình mã hóa càng nhiều bit thì mật khẩu càng khó bẻ khóa.
Thêm chuỗi ngẫu nhiên vào hàm băm: các quản trị viên cũng nên ngẫu nhiên hóa các hàm băm mật khẩu bằng cách thêm một chuỗi các chữ cái và số ngẫu nhiên (gọi là chuỗi ngẫu nhiên) vào chính mật khẩu. Chuỗi này phải được lưu trữ trong một cơ sở dữ liệu riêng biệt, được truy xuất rồi thêm vào mật khẩu trước khi băm. Bằng cách thêm chuỗi ngẫu nhiên vào hàm băm, những người dùng có cùng mật khẩu sẽ có các hàm băm khác nhau.
Xác thực hai yếu tố (2FA): ngoài ra, các quản trị viên có thể yêu cầu xác thực hai bước và cài đặt hệ thống phát hiện xâm nhập để phát hiện các cuộc tấn công brute force. Điều này yêu cầu người dùng phải theo dõi một nỗ lực đăng nhập bằng yếu tố thứ hai, như khóa USB vật lý hoặc quét sinh trắc học dấu vân tay.
Giới hạn số lần đăng nhập lại: việc giới hạn số lần đăng nhập cũng làm giảm nguy cơ bị tấn công brute force. Chẳng hạn, việc cho phép ba lần thử nhập mật khẩu đúng trước khi khóa người dùng trong vài phút có thể gây ra sự chậm trễ đáng kể và khiến tin tặc chuyển sang các mục tiêu dễ dàng hơn.
Khóa tài khoản sau nhiều lần đăng nhập: nếu tin tặc có thể liên tục thử lại mật khẩu kể cả sau khi đã bị khóa tạm thời, chúng có thể quay lại để thử tiếp. Khóa tài khoản và yêu cầu người dùng liên hệ với bộ phận CNTT để mở khóa sẽ ngăn chặn hoạt động này. Bộ hẹn giờ khóa ngắn tiện lợi hơn cho người dùng, nhưng sự tiện lợi này cũng có thể là một lỗ hổng bảo mật. Để cân bằng điều này, bạn có thể cân nhắc sử dụng khóa dài hạn nếu có quá nhiều lần đăng nhập không thành công sau một khóa ngắn hạn.
Giảm tốc độ đăng nhập lặp lại: bạn có thể làm chậm hơn nữa nỗ lực của kẻ tấn công bằng cách tạo khoảng cách giữa mỗi lần thử đăng nhập. Khi đăng nhập không thành công, bộ hẹn giờ có thể từ chối đăng nhập cho đến khi đã qua một khoảng thời gian ngắn. Việc này sẽ khiến nhóm giám sát theo thời gian thực của bạn có thời gian trễ để phát hiện và làm việc để ngăn chặn mối đe dọa này. Một số tin tặc có thể ngừng cố gắng nếu thấy việc chờ đợi là không đáng.
Yêu cầu nhập Captcha sau những lần đăng nhập lặp lại: việc xác minh thủ công sẽ ngăn chặn robot tấn công brute-force vào dữ liệu của bạn. Có nhiều loại Captcha, bao gồm nhập lại văn bản trong một hình ảnh, đánh dấu vào hộp kiểm hoặc xác định đối tượng trong các hình ảnh. Bất kể là lựa chọn nào, bạn đều có thể sử dụng cách này trước lần đăng nhập đầu tiên và sau mỗi lần đăng nhập không thành công để bảo vệ thêm.
Sử dụng danh sách từ chối IP để chặn những kẻ tấn công đã được biết đến. Đảm bảo danh sách này được người quản lý nó cập nhật liên tục.
Bảo vệ mật khẩu bằng cách hỗ trợ CNTT chủ động
Giáo dục về mật khẩu: hành vi của người dùng đóng vai trò quan trọng đối với việc bảo mật mật khẩu. Hướng dẫn người dùng về các biện pháp và công cụ an toàn giúp họ theo dõi mật khẩu của mình. Các dịch vụ như Kaspersky Password Manager cho phép người dùng lưu các mật khẩu phức tạp, khó nhớ của họ vào một "kho" được mã hóa thay vì viết chúng ra giấy nhớ không an toàn. Vì người dùng có xu hướng đánh đổi sự an toàn của mình để lấy sự tiện lợi, hãy đảm bảo cung cấp cho họ những công cụ tiện lợi sẽ giúp họ an toàn.
Theo dõi các tài khoản theo thời gian thực để phát hiện hoạt động lạ: Vị trí đăng nhập lạ, số lần đăng nhập quá nhiều, v.v. Làm việc để tìm ra xu hướng trong hoạt động bất thường và thực hiện các biện pháp để chặn những kẻ tấn công tiềm năng theo thời gian thực. Đề phòng các hoạt động chặn địa chỉ IP, khóa tài khoản và liên hệ với người dùng để xác định xem hoạt động của tài khoản có hợp pháp hay không (nếu có vẻ đáng ngờ).
Cách người dùng có thể củng cố mật khẩu để chống lại các cuộc tấn công Brute Force
Là một người dùng, bạn có thể làm nhiều điều để hỗ trợ việc bảo vệ bản thân trong thế giới số. Cách phòng thủ tốt nhất chống lại các cuộc tấn công mật khẩu là đảm bảo mật khẩu của bạn đủ mạnh.
Các cuộc tấn công brute force dựa vào thời gian để bẻ khóa mật khẩu của bạn. Vì vậy, mục tiêu của bạn là đảm bảo rằng mật khẩu của bạn làm chậm các cuộc tấn công này càng nhiều càng tốt, vì nếu mất quá nhiều thời gian khiến việc xâm nhập trở nên không đáng... thì hầu hết tin tặc sẽ bỏ cuộc và chuyển mục tiêu.
Sau đây là một số cách bạn có thể tăng độ mạnh của mật khẩu để chống lại các cuộc tấn công dò mật khẩu:
Mật khẩu dài hơn với nhiều loại ký tự khác nhau. Nếu có thể, người dùng nên chọn mật khẩu gồm 10 ký tự có bao gồm các hiệu hoặc số. Làm như vậy sẽ tạo ra 171,3 nghìn tỷ tỷ tỷ (1,71 x 1020) khả năng. Sử dụng bộ xử lý GPU thử 10,3 tỷ băm mỗi giây, việc bẻ khóa mật khẩu sẽ mất khoảng 526 năm. Mặc dù vậy, một siêu máy tính có thể bẻ khóa nó trong vài tuần. Theo lôgic này, càng thêm nhiều ký tự thì mật khẩu của bạn càng khó giải hơn.
Tạo cụm mật khẩu phức tạp. Không phải tất cả các trang web đều chấp nhận mật khẩu dài như vậy, nghĩa là bạn nên chọn cụm mật khẩu phức tạp thay vì chỉ một từ. Các cuộc tấn công từ điển được xây dựng riêng cho các cụm từ đơn lẻ khiến việc xâm phạm gần như dễ dàng. Cụm mật khẩu – mật khẩu bao gồm nhiều từ hoặc đoạn – nên được bổ sung thêm các ký tự và loại ký tự đặc biệt.
Tạo quy tắc để xây dựng mật khẩu của bạn. Mật khẩu tốt nhất là mật khẩu mà bạn có thể nhớ nhưng người khác đọc sẽ không hiểu được. Khi sử dụng dạng cụm mật khẩu, hãy cân nhắc sử dụng các từ bị cắt xén, ví dụ như thay thế “wood” bằng “wd” để tạo ra một chuỗi ký tự chỉ có ý nghĩa với bạn. Các ví dụ khác có thể bao gồm việc bỏ nguyên âm hoặc chỉ sử dụng hai chữ cái đầu tiên của mỗi từ.
Tránh xa những mật khẩu thường được sử dụng. Điều quan trọng là tránh những mật khẩu phổ biến nhất và đổi mật khẩu thường xuyên.
Mọi trang web mà bạn sử dụng, hãy sử dụng những mật khẩu độc lạ. Để tránh trở thành nạn nhân của trò nhồi nhét thông tin đăng nhập, đừng bao giờ sử dụng lại mật khẩu. Nếu muốn nâng mức bảo mật, bạn hãy sử dụng tên người dùng khác nhau cho mỗi trang web. Nếu một trong các tài khoản của bạn bị xâm phạm, bạn vẫn có thể ngăn các tài khoản khác khỏi bị xâm phạm.
Sử dụng trình quản lý mật khẩu. Việc cài đặt trình quản lý mật khẩu sẽ tự động tạo và theo dõi thông tin đăng nhập trực tuyến của bạn. Những cách này cho phép bạn truy cập tất cả tài khoản của bạn bằng cách đăng nhập vào trình quản lý mật khẩu trước tiên. Khi đó, bạn có thể tạo những mật khẩu cực kỳ dài và phức tạp cho mọi trang web mà bạn truy cập, lưu trữ chúng an toàn và bạn chỉ phải nhớ một mật khẩu chính.
Nếu bạn đang tự hỏi "mất bao lâu để bẻ khóa mật khẩu của tôi", bạn có thể kiểm tra độ mạnh của mật khẩu tại .
Kaspersky Internet Security đã nhận được hai giải thưởng AV-TEST cho hiệu suất và khả năng bảo vệ tốt nhất dành cho sản phẩm bảo mật internet năm 2021. Trong mọi bài kiểm tra, Kaspersky Internet Security đã thể hiện hiệu suất và khả năng bảo vệ vượt trội trước các mối đe dọa mạng.
Sản phẩm được khuyến cáo:
