حمله بروت فورس صفحه لاگین با Acunetix

حمله بروت فورس صفحه لاگین با Acunetix

در این مقاله قصد داریم به وسیله اسکنر محبوب Acunetix، به تست نفوذ صفحه ورود وب سایت از طریق متد بروت فورس (BrureForce) بپردازیم. پس در ادامه با کالی بویز همراه باشید …

حملات بروت فورس چیست؟

بروت فورس(bruteforce) در واقع نوعی حمله به حساب های شخصی و صفحات رمز گذاری شده است که از طریق حدس پسورد، انجام می پذیرد. به عبارت دیگر، هکر، با استفاده از حمله bruteforce تمامی پسوردهای ممکن را برای یک اکانت و یا یک رمز، حدس می زند تا بالاخره به جواب مورد نظر خود برسد.

به عنوان مثال فرض کنید یک کیف رمز گذاری شده که می تواند تا چهار عدد را از 0000 تا 9999 داشته باشد، در اختیار داریم. اگر رمز صحیح آن را ندانیم، در واقع ما با 10000 احتمال روبرو خواهیم شد. برای رسیدن به جواب مورد نظر قطعا باید همه این احتمالات را یکی پس از دیگری امتحان کنیم. در واقع ما یک حمله بروت فورس را انجام داده ایم.

حال در شبکه های کامپیوتری نیز اصولا bruteforce یکی از اصلی ترین روش های نفوذ می باشد که در آن نفوذگر با در اختیار داشتن نام های کاربری، اقدام به حدس همه پسوردهای ممکن برای او می کند تا بالاخره به پسورد صحیح برسد.

البته حمله بروت فورس به دلیل زیاد بودن تعداد احتمالات ممکن، معمولا چندان به صرفه نبوده و نمی توان آن را یک حمله دقیق دانست. به همین دلیل تنها در صورتی قابل انجام است که بدانیم هدف ما از یک پسورد ساده استفاده کرده است. در مواردی که هدف پسوردی متشکل از اعداد، حروف و نشانه ها داشته باشد، یک حمله بروت فورس با یک سیستم معمولی ممکن است ماه ها به طول بی انجامد که اصلا توجیه پذیر نمی باشد. پس ساده بودن پسورد هدف، نقش اساسی در موفقیت یا عدم موفقیت یک حمله بروت فورس دارد.

در ادامه با استفاده از ابزار Acunetix Manual Tools اقدام به نمایش حمله بروت فورس بر روی صفحه ورود یک وب سایت می کنیم.

مراحل محافظت از رمزهای عبور در مقابل حملات بروت فورس

برای محافظت هر چه بیشتر در حملات بروت فورس، مدیران سیستم باید اطمینان حاصل کنند که رمزگذاری هایی که برای سیستم هایشان انتخاب می کنند از بالاترین میزان رمزگذاری باشد، مانند رمزگذاری 256 بیتی و … هرچه تعداد بیت در طرح رمزگذاری بیشتر باشد رمز عبور سخت تر خواهد بود.

محدود کردن تعداد تلاش ها نیز باعث کاهش حملات بروت فورس می شود. به عنوان مثال ، سه بار تلاش برای وارد کردن رمز صحیح.

کاربران چگونه می توانند رمزهای عبور قوی انتخاب کنند؟

در صورت امکان، کاربران باید رمزهای عبور 10 کاراکتری را که شامل نمادها یا اعداد است، انتخاب کنند. با این کار (1.71 * 10 ²⁰ ) امکان ایجاد می شود. در این حالت در صورت استفاده از پردازنده GPU ای که 10.3 میلیارد هش در ثانیه را تست می کند، شکستن گذرواژه تقریباً 526 سال طول می کشد.

با این وجود همه سایت ها چنین رمزهای عبور طولانی را قبول نمی کنند و این بدان معنی است که کاربران باید عبارات پیچیده را به جای کلمات مجزا انتخاب کنند. مهم است که از رایج ترین رمزهای عبور خودداری کنید و مرتباً آن ها را تغییر دهید.

نصب یک برنامه برای مدیریت رمزهای عبور بسیار حیاتی است و به کاربران امکان می دهد با ورود به سیستم مدیریت رمز عبور ، به همه حساب های خود دسترسی پیدا کنند. سپس آنها می توانند کلمه عبورهای بسیار طولانی و پیچیده ای را برای تمام سایت هایی که بازدید می کنند ایجاد کنند، با خیال راحت آنها را ذخیره کنند و فقط یک رمز عبور را برای مدیر رمز عبور به خاطر بسپارند.

همچنین برای آزمایش قدرت رمز عبور خود میتوانید آن را در وب سایت kaspersky تست کنید.