Πως λειτουργεί το Brute Force στην πράξη; Ξέρω ότι είναι μια μέθοδος για να "σπάει" κωδικούς ψάχνοντας όλους τους πιθανούς συνδυασμούς, αλλά με ποιον τρόπο το κάνει αυτό; Είναι ένα πρόγραμμα που τρέχει και το κάνει αυτό ή κάτι άλλο; Επίσης πως απορρίπτει τους λανθασμένους κωδικούς, αφού σίγουρα δεν πραγματοποιεί δοκιμή σύνδεσης (γιατί ο λογαριασμός θα ασφαλιζόταν μετά από έναν αριθμό λάθος προσπαθειών).
Ένας οδηγός θα ήταν ό,τι καλύτερο :)
Καλησπέρα Ραφαήλ,
Το Brute Force όντως λειτουργεί δοκιμάζοντας κάθε πιθανό συνδυασμό κωδικών, παίρνοντας τους με τη σειρά.
Το θέμα είναι πως κάθε είδος κωδικού που θέλει να σπάσει κανείς, χρειάζεται τη δική του ειδική εφαρμογή για brute force. Οι υψηλού επιπέδου hackers γράφουν μόνοι τους τις εφαρμογές που χρειάζονται.
Επίσης δεν γνωρίζω ποιο ακριβώς είδος λογαριασμού έχεις κατά νου σχετικά με το Brute Force. Σε λογαριασμούς που κλειδώνουν μετά από κάποιες προσπάθειες, δεν μπορεί να χρησιμοποιηθεί αυτή η στρατηγική, εκτός κι αν ο hacker έχει εντοπίσει κάποιο κενό ασφαλείας που του επιτρέπει να αγνοεί τον περιορισμό.
Σε γενικές γραμμές, πάντως, το Brute Force είναι η χειρότερη μέθοδος για να σπάσει ένας κωδικός, καθώς ακόμα και με τον ταχύτερο υπολογιστή είναι τόσο χρονοβόρα, που για περίπλοκους κωδικούς πάνω από 8 χαρακτήρες μπορεί να πάρει κυριολεκτικά χρόνια, δεκαετίες, ή και αιώνες για να ελεγχθούν όλοι οι πιθανοί συνδυασμοί.
Πολύ πιο εύκολες είναι πρακτικές όπως κάποιος keylogger ή μία ψεύτικη σελίδα που να μοιάζει αυθεντική. Σκοπεύω κάποια στιγμή να γράψω έναν οδηγό για αυτού του τύπου τις σελίδες, ώστε να ξέρει κανείς τι πρέπει να προσέχει.
Αυτό ήθελα να επικυρώσω, ότι δηλαδή λειτουργεί με αυτόν τον τρόπο και αποτελεί μηδαμινό κίνδυνο για σωστούς κωδικούς. Για keylogger δεν φοβάμαι, γιατί ξέρω σε ποια PC βάζω τους κωδικούς μου. Όσο για το άρθρο, εκτός από τα διάφορα phising sites, αν θες γράψε και για το πόσο είναι δυνατό να δουν τους κωδικούς μας οι διαχειριστές της εκάστοτε υπηρεσίας που εγγραφόμαστε. Νομίζω θα ξεκαθάριζε μερικά πράγματα.
Η βέλτιστη τακτική για ένα site είναι να αποθηκεύει το hash του κωδικού σε salted μορφή, έτσι ώστε να είναι αδύνατον ο διαχειριστής του συστήματος ή και το ίδιο το σύστημα να γνωρίζει τον αρχικό κωδικό.
Εντούτοις, δεν υπάρχει τρόπος να γνωρίζουμε ποια 100% ακρίβεια ποια ακριβώς μέθοδος υλοποιείται σε κάθε site.
Μία εμπειρική μέθοδος θα ήταν να δοκιμάσουμε την υπενθύμιση κωδικού. Αν μας στείλουν τον κωδικό μας με email, τότε σίγουρα τον αποθηκεύουν και μπορεί να τον δει οποιοσδήποτε έχει πρόσβαση στη βάση δεδομένων.
Αν δεν μας στείλουν τον κωδικό, αλλά ένα σύνδεσμο για να τον αλλάξουμε, το πιθανότερο είναι πως δεν τον αποθηκεύουν, αλλά δεν μπορούμε να είμαστε 100% βέβαιοι.
Πάντως, σε κάθε περίπτωση, αν χρησιμοποιούμε διαφορετικό κωδικό σε κάθε σελίδα, όπως είναι και το ιδανικό, δεν μας απασχολεί αν ο διαχειριστής της σελίδας μπορεί να τον δει ή όχι.
Please login or Register to submit your answer