Czym jest Atak brute-force?
Atak brute-force to metoda kryptoanalizy próbująca ustalić hasło, klucz szyfrujący lub inny sekret przez systematyczne testowanie wszystkich możliwych kombinacji, aż do znalezienia poprawnej wartości.
Znane również jako: brute force, password cracking, exhaustive search
Ataki brute-force to najprostsza forma ataku na dowolny sekret: wypróbowanie wszystkich możliwości. Dla 4-cyfrowego PIN-u istnieje 10 000 kombinacji — trywialnych dla komputera. Dla 8-znakowego hasła złożonego z małych liter istnieje około 209 miliardów kombinacji — wykonalnych przy nowoczesnym sprzęcie. Dla 256-bitowego klucza szyfrującego istnieje 2^256 możliwości — obliczeniowo niewykonalnych dla jakiejkolwiek technologii wyobrażalnej zgodnie ze znami prawami fizyki.
W praktyce atakujący rzadko przeprowadzają czyste ataki brute-force na hasła. Zamiast tego stosują zoptymalizowane warianty: ataki słownikowe (testowanie popularnych haseł i słów), ataki regułowe (stosowanie typowych transformacji, jak dodawanie cyfr lub podstawienia znaków), credential stuffing (używanie haseł ujawnionych w poprzednich naruszeniach) i ataki tęczowymi tablicami (używanie wstępnie obliczonych tablic skrótów). Techniki te wykorzystują przewidywalność haseł wybieranych przez ludzi, aby drastycznie zmniejszyć przestrzeń poszukiwań.
Mechanizmy obronne przeciwko atakom brute-force działają na wielu poziomach. Silne hasła i długie klucze szyfrujące sprawiają, że wyczerpujące przeszukiwanie jest niepraktyczne. Rate limiting ogranicza liczbę prób w danym czasie. Polityki blokowania kont uniemożliwiają dostęp po kilku nieudanych próbach. Funkcje wyprowadzania kluczy, takie jak PBKDF2 i bcrypt, sprawiają, że każda próba jest kosztowna obliczeniowo. Solenie zapobiega wstępnie obliczonym atakom wyszukiwania. Razem te mechanizmy podnoszą koszt ataku brute-force powyżej każdego praktycznego progu.
Jak Vaulted używa Atak brute-force
Vaulted broni się przed atakami brute-force na wielu poziomach. Klucz szyfrujący AES-256-GCM to losowa 256-bitowa wartość, co sprawia, że złamanie szyfrogramu metodą brute-force jest obliczeniowo niemożliwe. Dla sekretów z ochroną passphrase PBKDF2 ze 100 000 iteracjami znacznie podnosi koszt każdej próby zgadnięcia hasła. Rate limiting po stronie serwera (10 tworzenia na minutę, 30 wyświetleń na minutę na IP) uniemożliwia szybkie zautomatyzowane próby przeciwko API. A limity wyświetleń zapewniają, że sekret zostaje trwale usunięty po małej liczbie dostępów, zamykając okno na powtarzające się próby zgadywania.