content/tr-tr/images/repository/isc/44-BruteForce.jpg

Kaba kuvvet saldırısı, sonunda doğrusunu bulma umuduyla deneme yanılma yönetimi kullanarak bir parola veya kullanıcı adını ele geçirme, gizli bir web sayfasını bulma ya da bir mesajı şifrelemek için kullanılan anahtarı arama girişimidir. Bu, eski ancak hâlâ etkili ve korsanlar arasında popüler bir saldırı yöntemidir.

Parolanın kırılması, uzunluğuna ve karmaşıklığına bağlı olarak birkaç saniye veya birkaç yıl sürebilir. Hatta bazı korsanlar aylar, hatta yıllar boyunca her gün aynı sistemi hedef alır.

Kaba Kuvvet Girişimlerine Yardım Eden Araçlar

Belirli bir kullanıcının veya sitenin parolasını tahmin etmek uzun zaman alabilir; bu nedenle korsanlar bu işi daha hızlı yapacak araçlar geliştirmiştir.

Sözlükler en basit araçlardır. Bazı korsanlar, özel karakterler ve rakamlar ile eksiksiz sözlükleri ve ilave sözcükleri dener veya özel sözlükler kullanır ancak bu tür saldırılar zahmetlidir.

Standart bir saldırıda korsan bir hedef seçer ve bu kullanıcı adı için olası parolaları dener. Bunlar sözlük saldırıları olarak bilinir.

Adından da anlaşılacağı gibi ters kaba kuvvet saldırıları, internette bulunabilen sızdırılmış parolalar gibi bilinen bir parolayla başlayıp bir eşleşme bulana kadar milyonlarca kullanıcı adını arayarak saldırı stratejisini tersine çevirir.

Ayrıca kaba kuvvet saldırılarında yardımcı olan Brutus, Medusa, THC Hydra, Ncrack, John the Ripper, Aircrack-ng ve Rainbow adlı otomatik araçlar da bulunmaktadır. Çoğu, sözlükteki bir kelimeden oluşan parolaları bir saniye içinde bulabilir.

Bunun gibi araçlar, birçok bilgisayar protokolünü (FTP, MySQL, SMPT ve Telnet) engeller ve korsanların kablosuz modemlerin parolalarını kırmalarını, zayıf parolaları tespit etmelerini, şifrelenmiş depolama alanındaki parolaları bulmalarını ve sözcükleri özel karakterlerle yeniden düzenlemelerini ("banasaldırma" yerine "b@n@s@ldırm@") sağlayarak tüm olası karakter kombinasyonlarını deneyip sözlük saldırıları gerçekleştirebilmelerine yardımcı olur.

Bazı araçlar, parolaları uzun, aynı karakter sayısında harf ve rakamlara çevirmek için kullanılan, algoritmaya dayalı şifreleme yöntemi olan bilinen karma işlevlerinin giriş ve çıkışları için önceden işlenmiş gökkuşağı tablolarını tarar.

GPU Hızları Kaba Kuvvet Girişimleri

CPU ile grafik işleme birimini (GPU) bir araya getirmek, GPU'daki binlerce bilgi işlem çekirdeğini işlemeye ekleyerek bilgi işlem gücünü hızlandırır ve sistemin eş zamanlı olarak birden fazla görevi yerine getirmesini sağlar. GPU işlemesi; analiz, mühendislik ve diğer bilgi işlem bakımından yoğun uygulamalar için kullanılır ve parolaları bir CPU'nun tek başına yapabileceğinden 250 kat daha hızlı kırabilir.

Net bir çerçeve çizmemiz gerekirse rakam içeren altı karakterli bir parolanın yaklaşık 2 milyar kombinasyon olasılığı vardır. Böyle bir parolayı, saniyede 30 parola deneyen güçlü bir CPU ile kırmak iki yıldan uzun bir zaman alır. Tek bir güçlü GPU kartı eklendiğinde aynı bilgisayar saniyede 7100 parola dener ve parolayı 3,5 günde kırar.

BT Uzmanları için Parolaları Koruma Adımları

Sistem yöneticileri, kaba kuvvet saldırılarının başarıya ulaşmasını zorlaştırmak için sistemlerindeki parolaların mümkün olan en yüksek oranda (örneğin 256 bit şifreleme) şifrelendiğinden emin olmalıdır. Şifreleme düzeninde ne kadar çok bit varsa parolayı kırmak o kadar zor olacaktır.

Yöneticiler aynı zamanda karmayı daha karmaşık hale getirmeli, yani parolanın kendisine denk gelen harf ve rakamlar dizisi ekleyerek parola karmalarını rastgele hale getirmelidir. Bu dizi ayrı bir veritabanında saklanmalı ve karmaşık hale getirilmeden önce alınıp parolaya eklenmelidir. Bu sayede, aynı parolaya sahip olan kullanıcıların farklı karmaları olur. Ayrıca yöneticilerin iki aşamalı kimlik doğrulaması yapması ve kaba kuvvet saldırılarını algılayan bir izinsiz giriş algılama sistemi yüklemesi gerekebilir.

Deneme sayısının sınırlandırılması da kaba kuvvet saldırılarına karşı hassasiyeti azaltır. Örneğin, üç denemede doğru parolayı giremeyen kullanıcının birkaç dakika boyunca giriş yapamaması ciddi gecikmelere neden olabilir ve korsanların daha kolay hedeflere yönelmesini sağlayabilir.

Kullanıcılar Parolalarını Nasıl Güçlendirebilir?

Kullanıcılar mümkünse semboller veya rakamlar içeren 10 karakterli bir parola seçmelidir. Böylece olasılıkların sayısını 171,3 kentilyona (1,71 x 1020) çıkarmış olursunuz. Bir süper bilgisayarın bu parolayı kırması birkaç hafta sürebilir ancak saniyede 10,3 milyar karma deneyen bir GPU işlemcisi kullanıldığında parolanın kırılması yaklaşık 526 yıl sürecektir.

Tüm siteler bu kadar uzun parolaları kabul etmez ancak bu da, kullanıcıların tek bir kelime yerine karmaşık parolalar seçmesi gerektiği anlamına gelir. Yaygın parolalardan kaçınmak ve parolaları sık sık değiştirmek önemlidir.

yüklemek parola yönetimini otomatik hale getirerek kullanıcıların, parola yöneticisinde oturum açtıktan sonra tüm hesaplarına erişmelerini sağlar. Ziyaret ettikleri tüm siteler için aşırı uzun ve karmaşık parolalar oluşturabilir, bunları güvenli bir şekilde saklayabilirler ve yalnızca parola yöneticisi için tek bir parolayı hatırlamaları gerekir.

Parolanın gücünü test etmek için kullanıcılar https://password.kaspersky.comadresini ziyaret edebilir. .

İlgili makaleler:

İlgili ürünler:

Kaba Kuvvet Saldırısı Nedir?

Kaba kuvvet saldırısı, deneme yanılma yoluyla parola ve kullanıcı adlarını ele geçirme girişimidir. Bu, eski ancak hâlâ etkili ve korsanlar arasında popüler bir saldırı yöntemidir.
Kaspersky Logo