Kaba Kuvvet Saldırısı nedir?
Kaba kuvvet saldırısı, doğru değer bulunana kadar her olası kombinasyonu sistematik olarak deneyerek bir parola, şifreleme anahtarı veya başka bir gizli diziyi belirlemeye çalışan kriptanalitik bir yöntemdir.
Diğer adlarıyla: brute force, password cracking, exhaustive search
Kaba kuvvet saldırıları, herhangi bir gizli diziye karşı en basit saldırı biçimidir: her olasılığı dene. 4 haneli bir PIN'e karşı 10.000 kombinasyon vardır; bir bilgisayar için önemsiz. 8 karakterli küçük harfli bir parola için yaklaşık 209 milyar kombinasyon vardır; modern donanımla uygulanabilir. 256 bitlik bir şifreleme anahtarı için ise 2^256 olasılık bulunur; bilinen fizik yasaları altında var olabilecek herhangi bir teknolojiyle hesaplamalı olarak imkânsız.
Pratikte saldırganlar, parolalara karşı nadiren saf kaba kuvvet saldırısı uygular. Bunun yerine optimize edilmiş türleri kullanırlar: sözlük saldırıları (yaygın parolaları ve sözcükleri dener), kural tabanlı saldırılar (sayı ekleme veya karakter değiştirme gibi yaygın dönüşümleri uygular), kimlik bilgisi doldurma (diğer ihlallerden sızdırılan parolaları kullanır) ve gökkuşağı tablosu saldırıları (önceden hesaplanmış karma arama tablolarını kullanır). Bu teknikler, arama alanını dramatik biçimde daraltmak için insan tarafından seçilen parolaların öngörülebilirliğini kullanır.
Kaba kuvvet saldırılarına karşı savunmalar birden fazla düzeyde işler. Güçlü parolalar ve uzun şifreleme anahtarları, kapsamlı aramayı pratik dışı bırakır. Hız sınırlaması, zaman dilimi başına deneme sayısını kısıtlar. Hesap kilitleme politikaları, tekrarlanan başarısızlıkların ardından erişimi engeller. PBKDF2 ve bcrypt gibi anahtar türetme işlevleri, her denemeyi hesaplama açısından pahalı kılar. Salt ekleme, önceden hesaplanmış arama saldırılarını önler. Bu savunmalar bir arada, kaba kuvvet saldırısının maliyetini herhangi bir pratik eşiğin ötesine taşır.
Vaulted Kaba Kuvvet Saldırısı nasıl kullanır
Vaulted, kaba kuvvet saldırılarına karşı birden fazla katmanda savunur. AES-256-GCM şifreleme anahtarı rastgele 256 bitlik bir değerdir; bu, kaba kuvvetle çözümlemeyi hesaplamalı olarak imkânsız kılar. Parola korumalı gizli diziler için PBKDF2, 100.000 iterasyonuyla her parola tahminini pahalıya mal eder. Sunucu taraflı hız sınırlaması (IP başına dakikada 10 oluşturma, 30 görüntüleme) API'ye yönelik hızlı otomatik denemeleri önler. Görüntüleme sınırları ise küçük sayıda erişimden sonra gizli dizi kalıcı olarak silinerek tekrarlanan tahmin için pencereyi kapatır.