Что такое взлом аккаунта с помощью brute-force attack (метод последовательного перебора) и как можно защитить сотрудников и приложения в своей компании от этих атак?
Brute-force login attack является наиболее распространённой (и наименее изощренными) атакой, используемой против веб-приложений. Цель данной атаки – получить доступ к аккаунтам пользователей путем многократных попыток угадать пароль пользователя или группы пользователей. Если веб-приложения не имеют никаких защитных мер против этого типа атак, то злоумышленнику довольно просто взломать систему, основанную на парольной аутентификации, осуществив сотню попыток ввода пароля с помощью автоматизированных программок, легкодоступных в Интернете.
Brute-force login attacks может быть использована в ряде случаев. Если известна длина пароля, то может быть испробована каждая комбинация цифр, букв и символов, пока не будут найдены совпадения. Однако процесс этот долгий, особенно по мере увеличения длинны пароля (вот почему длинные пароли более надежны). Альтернативный подход – использование списка общеупотребительных слов, так называемая словарная атака. Общий смысл этой атаки сводится к тому, что будут последовательно подставляться все слова из словаря, с возможностью добавлять цифры и удваивать слово как потенциальный пароль. В этом случае гораздо меньше комбинаций можно попробовать, но все же шанс подобрать пароль довольно высок.
Есть обратный метод, вместо попытки подобрать пароль к одному аккаунту, можно попробовать один пароль к множеству аккаунтов. Это известно как reverse brute-force attack. Данная техника, стоит заметить, не срабатывает там, где есть политика блокировки учетной записи. Reverse brute-force attacks менее распространенная атака еще и потому, что атакующему зачастую сложно составить достаточно большой объем имен для этой атаки.
Есть ряд методов для предотвращения brute-force attack. Первый заключается в использовании политик блокировки учетной записи. Например, после трех неудачных попыток входа в систему, учетная запись блокируется до тех пор, пока ее не разблокирует администратор. Недостатком этого метода является блокировка сразу множества аккаунтов пользователей в результате атаки одного злоумышленника, на администратора падает сразу много работы, т.к. большое количество пользователей-жертв осталось без доступа к своим аккаунтам.
Лучший, хотя и более сложный метод – progressive delays (прогрессивные задержки). Суть его в том, что учетные записи блокируются на некоторое время после нескольких неудачных попыток входа. Время блокировки возрастает с каждой новой неудачной попыткой. Это защищает от автоматизированных средств, проводящих brute-force attack, и фактически делает нецелесообразным проведение данных атак.
Другой метод заключается в использовании теста запроса-ответа на странице входа в систему для предотвращения автоматизированных представлений. Такие бесплатные утилиты как reCAPTCHA могут быть использованы для того, чтобы попросить пользователя ввести слово или решить простую математическую задачу, тем самым доказав, что это не робот. Этот метод является эффективным, но создает некоторые неудобства при пользовании сайтом.
Любое веб-приложение должно обеспечивать использование надежных паролей. Так, например, требование от пользователя выбирать пароли длиной восемь и более символов с использованием букв и цифр или специальных символов отличная защита от brute-force attack, особенно в сочетании с одним из вышеописанных методов.
Так же может быть полезно использовать утилиты, которые автоматически считывают журналы интернет-событий и оповещает администратора о неоднократных попытках исходящих от одного IP адреса. Однако, злоумышленник также просто может использовать различные инструменты, чтобы регулярно автоматически сменять свой IP адрес.
Чтобы пользователи могли доверять вашей компании свои личные данные, очень важно убедиться в том, что в веб-приложении используется хотя бы один из методов защиты против brute-force attacks. Использование методов, описанных в этой статье, должно обеспечить надежную защиту от этих распространенных атак.
Автор: Rob Shapland
Источник: SearchSecurity