Tìm hiểu về tấn công Brute Force

Có rất nhiều phương pháp được tin tặc sử dụng để truy cập vào máy tính, mạng máy tính, trang web hoặc dịch vụ trực tuyến. Thực hiện một cuộc tấn công Brute Force là một trong số các phương pháp đó. Nó là một trong những phương pháp đơn giản nhất, nhưng tốn thời gian để hack một máy chủ hoặc một máy tính bình thường. Cơ chế tấn công Brute force có những ưu điểm của nó. Nó cũng có thể được sử dụng để kiểm tra an ninh mạng và khôi phục mật khẩu đã quên. Bài viết này sẽ giúp bạn hiểu định nghĩa Brute Force Attack là gì và xem xét các phương pháp phòng ngừa cơ bản.

Tấn công Brute Force là gì?

Tấn công Brute Force là một loại tấn công mạng, trong đó bạn có một phần mềm, xoay vòng các ký tự khác nhau, kết hợp để tạo ra một mật khẩu đúng. Phần mềm Brute Force Attack password cracker đơn giản sẽ sử dụng tất cả các kết hợp có thể để tìm ra mật khẩu cho máy tính hoặc máy chủ mạng. Nó rất đơn giản và không sử dụng bất kỳ kỹ thuật thông minh nào. Vì phương pháp này chủ yếu dựa trên toán học, phải mất ít thời gian hơn để crack mật khẩu, bằng cách sử dụng các ứng dụng brute force thay vì tìm ra chúng theo cách thủ công. Nói phương pháp này dựa trên toán học vì máy tính làm rất tốt các phép toán và thực hiện chúng trong vài giây, nhanh hơn rất nhiều lần so với bộ não con người (mất nhiều thời gian hơn để tạo ra các sự kết hợp).

Tấn công Brute Force là tốt hay xấu tùy thuộc vào người sử dụng nó. Nó có thể được bọn tội phạm mạng cố gắng sử dụng để hack vào một máy chủ mạng, hoặc nó có thể được một quản trị viên mạng dùng để xem mạng của mình được bảo mật có tốt không. Một số người dùng máy tính cũng sử dụng các ứng dụng brute force để khôi phục mật khẩu đã quên.

Tốc độ của máy tính và vấn để mật khẩu trong cuộc tấn công Brute Force

Nếu mật khẩu của bạn đang sử dụng tất cả các chữ cái thường và không có ký tự đặc biệt hoặc chữ số, chỉ mất 2-10 phút là một cuộc tấn công brute force có thể crack mật khẩu này. Ngược lại, một mật khẩu có sự kết hợp của cả chữ hoa và chữ thường cùng với một vài chữ số (giả sử có 8 chữ số) sẽ mất hơn 14-15 năm để bị crack.

Nó cũng phụ thuộc vào tốc độ của bộ vi xử lý máy tính, như bao lâu để crack mật khẩu của mạng hoặc đăng nhập bình thường vào một máy tính Windows độc lập.

Vì vậy, một mật khẩu mạnh mang lại rất nhiều ý nghĩa. Để tạo một mật khẩu thực sự mạnh, bạn có thể sử dụng các ký tự ASCII để tạo mật khẩu mạnh hơn. Ký tự ASCII tham chiếu đến tất cả các ký tự có sẵn trên bàn phím và hơn thế nữa (bạn có thể xem chúng bằng cách nhấn ALT + số (từ 0 đến 255) trên Numpad). Có khoảng 255 ký tự ASCII và mỗi ký tự có một code được đọc bằng máy và chuyển thành nhị phân (0 hoặc 1), sao cho nó có thể được sử dụng bằng máy tính. Ví dụ, code ASCII cho dấu cách là 32. Khi bạn nhập một dấu cách, máy tính đọc nó là 32 và chuyển đổi nó thành nhị phân - sẽ là 10000. Các ký tự 1, 0, 0, 0, 0, 0 được lưu trữ dưới dạng ON, OFF, OFF, OFF, OFF, OFF trong bộ nhớ của máy tính. Điều này không liên quan gì đến brute force, trừ trường hợp bạn sử dụng tất cả các ký tự ASCII. Nếu bạn sử dụng các ký tự đặc biệt trong mật khẩu, tổng thời gian cần để crack mật khẩu có thể lên đến 100 năm.

Brute Force Password Calculator (link tham khảo: https://www.grc.com/haystack.htm) là nơi bạn có thể kiểm tra xem sẽ mất bao lâu để crack một mật khẩu. Có các tùy chọn khác nhau bao gồm chữ thường, chữ hoa, chữ số và tất cả các ký tự ASCII. Dựa trên những gì bạn đã sử dụng trong mật khẩu, hãy chọn các tùy chọn và nhấp vào nút Calculate để xem cuộc tấn công Brute force sẽ khó khăn như thế nào để crack mật khẩu máy tính hoặc máy chủ của bạn.

Cách phòng chống và bảo vệ để tránh khỏi các cuộc tấn công Brute Force

Vì không có logic đặc biệt nào được áp dụng trong các cuộc tấn công Brute Force, ngoại trừ việc thử các kết hợp khác nhau của các ký tự được sử dụng để tạo mật khẩu, nên biện pháp phòng ngừa ở mức rất cơ bản và tương đối dễ dàng.

Ngoài việc sử dụng phần mềm bảo mật và hệ điều hành Windows được cập nhật đầy đủ, bạn nên sử dụng một mật khẩu mạnh có một số đặc điểm sau:

• Có ít nhất một chữ hoa
• Có ít nhất một chữ số
• Có ít nhất một ký tự đặc biệt
• Mật khẩu phải có tối thiểu 8-10 ký tự
• Bao gồm ký tự ASCII, nếu bạn muốn.

Mật khẩu càng dài thì càng mất nhiều thời gian để crack nó. Nếu mật khẩu của bạn giống như 'PA$$w0rd', sẽ mất hơn 100 năm để crack nó bằng các ứng dụng tấn công brute force hiện có. Xin vui lòng không sử dụng mật khẩu được đề xuất trong ví dụ, vì nó rất dễ dàng bị phá vỡ, bằng cách sử dụng một số phần mềm thông minh, có thể tổng hợp các mật khẩu đề xuất trong các bài viết liên quan đến các cuộc tấn công brute force.

Phần mềm miễn phí PassBox là một công cụ nhỏ tiện dụng sẽ ghi nhớ tất cả mật khẩu của bạn và thậm chí còn tạo mật khẩu mạnh cho tài khoản của bạn nữa. Nếu không, bạn có thể sử dụng một số trình tạo mật khẩu trực tuyến miễn phí để tạo mật khẩu mạnh ẩn danh. Sau khi thực hiện điều đó, hãy kiểm tra mật khẩu mới của bạn bằng Microsoft Password Checker - Trình kiểm tra mật khẩu của Microsoft. Trình kiểm tra mật khẩu này giúp đánh giá sức mạnh mật khẩu bạn đã nhập.

Nếu bạn đang sử dụng phần mềm website WordPress, thì cũng có nhiều plugin bảo mật WordPress tự động chặn các cuộc tấn công brute force. Sử dụng tường lửa web như Sucuri hoặc Cloudflare là một tùy chọn khác mà bạn có thể xem xét. Một cách nữa để chặn các cuộc tấn công brute-force là khóa các tài khoản sau một số lần nhập mật khẩu không chính xác. Plugin Limit Logins WordPress rất tốt cho việc ngăn chặn các cuộc tấn công brute force trên blog của bạn. Các biện pháp khác bao gồm cho phép đăng nhập từ chỉ các địa chỉ IP được chọn, thay đổi URL đăng nhập mặc định thành một thứ khác và sử dụng Captcha để tăng cường bảo mật blog WordPress của bạn.

Xem thêm:

• Social Engineering là gì? Làm sao để phòng tránh Social Engineering?
• Spear Phishing là gì?
• Office 365 Attack Simulator là gì? Sử dụng nó như thế nào?