حمله Brute Force چیست و چطور جلوی آن را بگیریم؟

وب‌سایت مورد حمله بروت فورس قرار گرفته

 پیشرفت تکنولوژی و گسترش اینترنت، تمام جنبه‌های فردی زندگی را تحت تاثیر قرار داده است. نفوذ اینترنت، فضای مجازی و رسانه‌های اجتماعی به حدی افزایش یافته است. با یک جستجوی ساده می‌توانیم در خصوصی ترین لحظات یک فرد شریک شویم. این پیشرفت تکنولوژی مزایای بیشماری را در اختیار بشر قرار داده و زندگی را وارد مقطعی جدید کرده است. به طوری که اکنون می‌توانیم حتی قهوه را بصورت آنلاین سفارش دهیم و درب منزل تحویل بگیریم.

اما در کنار تمام این مزایای دلچسب برخی ویژگی‌های ناپسند نیز دارد. به همان اندازه که تکنولوژی پیشرفت می‌کند و با زندگی ما آمیخته می‌شود، بیشتر در معرض حملات سایبری قرار می‌گیریم. اما با این حال با رعایت کردن برخی نکات ساده می‌توانیم از افشای اطلاعات خصوصی خود جلوگیری کنیم. یکی از قدیمی‌ترین و به نوعی ساده ترین نوع حمله، brute force است که تنها 5 درصد از نقص‌های امنیتی را به خود اختصاص داده است.

در این نوع حمله هکر به صورت بی وقفه تلاش می کند با حدس زدن رمز عبور به اطلاعات کاربری شما دست یابد. شاید در نگاه اول بسیار ساده و غیرممکن جلوه کند، اما جالب است بدانید حمله brute force میزان موفقیت بالایی دارد. امروزه بیشتر حملات بروت فورس توسط ربات‌ها انجام میشود، مهاجم لیستی از اطلاعات کاربران و رمز عبور‌ را از دارک وب بدست می‌آورد در ادامه ربات‌ها با حمله به وب سایت‌ و با امتحان کردن ‌این لیست تلاش میکنند رمز را بشکنند. این نوع حمله نه تنها برای بدست آورن اطلاعات شخصی استفاده می‌شود بلکه گاهی برای ایجاد اختلال در سرویس، آلوده کردن و یا از بین بردن اعتبار یک وب سایت مورد استفاده قرار می‌گیرند. برای مثال باتها با حمله به صفحه‌های سایت‌ و آزمایش رمز‌های مختلف در ترافیک سایت اختلال ایجاد می‌کنند و مانع از فعالیت کابران می‌شوند.

حمله Brute Force چیست و انواع آن کدام است؟

انواع حمله brute force

حملات ساده بروت فورس: در این حمله، هکر سعی می‌کند خیلی ساده و بدون هیچ نرم افزاری رمز عبور شما را حدس بزند. این حمله تنها برای رمز عبور‌ و پین‌های ساده مثل 123456789 و اعداد قابل حدسی مثل تاریخ تولید و شماره ملی و مواردی از این قبیل کاربرد دارد.

حمله دیکشنری(dictionary attack)

در تمام حملات دیکشنری، هکر ابتدا هدف را انتخاب می‌کند و تمام رمز عبور‌ها شامل لیستی از رشته‌ها و عبارات احتمالی را امتحان می‌کند تا بالاخره به نتیجه برسد. این نوع حمله مهمترین مولفه برای شکستن رمز عبور در حملات بروت فورس را شامل می‌شود. با این حال بسیار دست و پاگیر است و تنها بر روی گذرواژه‌هایی که از عبارات خاص استفاده شده کاربرد دارد. مثلا Tehran، root

حملات ترکیبی(hybrid brute force attack)

در این روش هکر تلاش می‌کند با ترکیب رمزعبور‌های احتمالی با نرم افزار‌های مختلف، به اطلاعات کاربر دسترسی پیدا کند. این نوع حملات برای کشف رمز عبورهای ترکیبی استفاده می‌شود، مانند Tehran 1400 که مخلوطی از حملات دیکشنری و حمله بروت فورس است.

حملات معکوس(reverse brute force attack)

همانطور که اسمش پیداست، هکر روند حمله را به صورت برعکس پیاده‌سازی می‌کند. در ابتدا یک رمزعبور شناخته شده را در نظر می‌گیرند و تلاش می‌کنند با میلیون‌ها بار امتحان، نام کاربری مطابق را کشف کنند. بسیاری از هکرها با رمزعبورهای افشا شده که از طریق نقص داده‌های موجود در دسترس هستند، کار خود را شروع می‌کنند. این نوع حمله شبکه‌ایی از کاربران را مورد هدف قرار می‌دهد که قبلا به نحوی بخشی از اطلاعاتشان به سرقت رفته باشد.

پر کردن اطلاعات(credential stuffing)

اگر هکری ترکیبی از رمزعبور و نام کاربری را پیدا کند که بر روی یک وب‌سایت جواب می‌دهد، مطمئن باشید این ترکیب را بر روی دیگر وبسایت‌ها نیز امتحان می‌کند. به همین دلیل باید برای هر وب‌سایتی از رمزعبور و نام کاربری منحصر به فرد استفاده کنید.

جدول رنگین‌کمان(rainbow attack)

جدول رنگین‌کمان، یک جدول پیش فرض برای معکوس کردن توابع هش رمزنگاری است. هکر میتواند با استفاده از این جدول توابع رمز نگار را حدس بزند.

انوع محتلف حملات بروت فورس Brute Force

راه های جلوگیری از حمله Brute force

امروزه افراد در تمام پلتفرم‌ها و وبسایت‌ها حساب‌ کاربری دارند. اما تمایل اشتباهی که همه ما داریم استفاده یک رمزعبور برای تمام حساب‌های کاربریمان است. استفاده مکرر از رمز عبور مشابه منجر می‌شود هکرها به راحتی با یکبار رمزگشایی بتوانند به تمام حساب‌های کاربری ما دسترسی پیدا کنند. برای مثال اگر برای حساب کاربری گوگل رمزعبور ضعیفی انتخاب کنید و این حساب کاربری با دیگر حسابهایتان در ارتباط باشد، هکر تنها با یافتن این رمز عبور میتواند به راحتی به بقیه حساب‌های شما دسترسی پیدا کند. و در بدترین حالت میتواند دیگر رمزهای عبورتان را بازیابی کند. حتما بخاطر داشته باشید که رمزعبور پیش‌فرض هر حساب کاربری را تغییر دهید چون به راحتی در لیست‌های بروت فورس یافت می‌شوند.

راه های جلوگیری از حملات Brute Force

با رمز عبور قوی از حمله بروت فورس جلوگیری کنید

به عنوان کاربر با چند راهکار ساده می‌توانید شبکه اطلاعات خود را ایمن نگه دارید. مهمترین نکته انتخاب رمزعبور دشوار است. هرچه رمزعبور قوی‌تر و فاقد الگو خاصی باشد، احتمال هک کردن آن کاهش میابد.

  • در رمز عبور‌های خود هرگز از اطلاعاتی که به صورت آنلاین بدست می آیند استفاده نکنید. مثلا شهری که در آن متولد شده‌اید، نام اعضای خانواده و یا تاریخ تولد.
  • از رمزعبورهای طولانی با کارکترهای متفاوت و بهم ریخته استفاده کنید. مثلا از 10 کاراکتر و مخلوطی از سمبل‌ها، حروف و اعداد بهره ببرید.
  • سعی کنید الگو‌های رایج برای انتخاب رمز عبور را کنار بگذارید و خودتان خلاق باشید. الگویی ایجاد کنید که تنها خودتان منطق پشت آن را میفهمید. در اینصورت قابلیت هک شدن را به صفر کاهش می‌دهید و هم آن را فراموش نمیکنید.
  • برای هر حساب کاربری رمز عبور ویژه‌ای انتخاب کنید. به خاطر داشته باشید که از یک رمز عبور بیش از یکبار استفاده نکنید.
  • میتوانید از برنامه‌های مدیریت رمزعبور استفاده کنید، این نوع برنامه‌ها به صورت خودکار اطلاعات شما را پیگیری می‌کنند. اکنون میتوانید از رمزعبورهای طولانی و عجیب استفاده کنید. و مطمئن شوید هیچ وقت حسابتان هک نخواهد شد و رمزعبور را از یاد نخواهید برد.
پسورد قوی یکی از بهترین راه های جلوگیری از جملات Brute Force

حفظ امنیت کاربران با استفاده از کپچا

به عنوان صاحب یک وب‌سایت مهمترین نکته حفظ امنیت کاربرانتان است. کافی است تنها یکبار اختلالی در سرویس‌هایتان ایجاد شود تا نیمی از کاربران خود را از دست بدهید. به همین دلیل بهتر است قبل از دیر شدن به فکر تامین امنیت وب سایت خود باشید.

  • از captcha استفاده کنید، ساده ترین راه حل برای تمایز بین انسان‌ها و بات‌ها استفاده از کپچاست. این آزمون با چند سوال ساده مثل پیدا کردن شی خاص در تصاویر کاربران را از بدافزارها تشخیص ‌می‌دهد. و از ورود آنها به وب سایت جلوگیری می‌کند. در چند سال اخیر گوگل سیستم  reCAPTCHA را راه اندازی کرده است. این سیستم با استفاده از هوش مصنوعی حرکات کاربران را تحت نظر میگیرد و تنها اگر نحوه فعالیت آنها شبیه به انسان بود، اجازه فعالیت را صادر میکند. در غیر این صورت باید از آزمون های captcha عبور کنند. این سیستم جدید اتلاف وقت کاربران برای جواب به سوالات کپچا به صورت چشمگیری کاهش می‌دهد. و در چند سال اخیر بسیار محبوب شده است.
  • کاربران را مجبور به تعریف گذرواژه‌های قوی کنید.
  • از احراز هویت دو مرحله‌ای استفاده کنید. خیلی از وب‌سایت‌ها برای ارتقای سطح امنیت خود از احراز هویت دو مرحله‌ای استفاده می‌کنند؛ به این صورت که در مرحله اول گذرواژه را وارد می‌کنید. درمرحله دوم به تلفن همراه شما پیامکی فرستاده می‌شود و با وارد کردن اعداد پیامک شده می‌توانید به حساب کاربری خود دسترسی داشته باشید.
تایید دو مرحله ای و رمز عبور قوی برای جلوگیری از حملات
تایید دو مرحله ای و رمز عبور قوی برای جلوگیری از حملات

جمع بندی

پیشرفت فناوری اطلاعات در کنار تمام مزایایی که به ارمغان آورده است، معایبی نیز دارد. در حال حاضر بیشتر فعالیت‌های خود را در بستر اینترنت انجام میدهیم. ما به نوعی در هر کجا ردپایی از خود بجای میگذاریم که هکرها با پیدا کردن این سرنخ‌ها به راحتی می‌توانند وارد حریم شخصی ما شوند. حمله brute force یکی از رایج‌ترین نوع اختلال در سرویس‌هاست. کاربران باید تا حد امکان از گذرواژه‌های منحصر به فرد و توام با نمادها، حروف و اعداد استفاده کنند. همچنین ادمین‌های وبسایت با ایجاد captcha میتوانند درصد موفقیت آمیز بودن این حملات را به صفر برسانند. با رعایت دو نکته فوق به سادگی میتوانید مانع از دسترسی هکرها به اطلاعات شخصیتان شوید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Back To Top