무차별 대입 공격 (예제 포함)이 무엇이며 어떻게 공격으로부터 보호 할 수 있습니까?

무차별 대입 공격.


무차별 대입 공격은 사용자 이름, 암호, 암호 또는 PIN (개인 식별 번호)과 같은 개인 사용자 정보를 얻는 데 사용되는 방법입니다. 이러한 공격은 일반적으로 스크립트 또는 봇을 사용하여 수행됩니다. 원하는 정보를 '추측합니다' 무언가가 확인 될 때까지.

범죄자들은 ​​무차별 대입 공격을 수행하여 암호화 된 데이터에 액세스 할 수 있습니다. 암호가 정보를 안전하게 유지한다고 생각할 수 있지만, 8 자 암호는 6 시간 이내에 해독 될 수 있습니다. 그리고 그것은 비교적 저렴한 기계로 2012 년에 돌아 왔습니다..

무차별 대입 공격은 IT 전문가가 보안을 테스트 할 수있는 유용한 방법 그들의 네트워크의. 실제로 시스템의 암호화 강도 측정 방법 중 하나는 공격자가 무차별 대입 시도에 성공하는 데 걸리는 시간입니다..

무차별 대입은 확실히 가장 정교한 형태의 공격이 아니기 때문에 다양한 조치로 인해 성공하지 못할 수 있습니다. 이 게시물에서는 몇 가지 예를 포함하여 무차별 대입 공격을보다 자세하게 살펴보고 공격으로부터 어떻게 보호 할 수 있는지를 보여줍니다..

무차별 대입 공격 소개

무차별 대입 공격은 종종 무차별 대입 크래킹이라고합니다. 실제로, 무차별 힘 (이 경우에는 계산력)은 코드를 해독하는 데 사용됩니다. 복잡한 알고리즘을 사용하지 않고 무차별 대입 공격 스크립트 또는 봇을 사용하여 작동하는 조합에 도달 할 때까지 추측을 제출합니다..

해커가 무차별 대입 시도를 시작하는 데 도움이되는 많은 도구가 있습니다. 그러나 스크립트를 처음부터 새로 작성하더라도 코드에 익숙한 사람에게는 무리가되지 않습니다. 이러한 공격은 실행하기 쉽지만 암호의 길이와 특성 및 사용 된 계산 능력에 따라 성공하는 데 며칠, 몇 주 또는 몇 년이 걸릴 수 있습니다..

무차별 대입 공격을 탐지하고 방지하는 방법을 살펴보기 전에이 주제와 관련하여 발생할 수있는 다른 용어에 주목해야합니다..

하이브리드 무차별 대입 공격

무차별 대입 공격은 외부 논리를 사용하지 않는 추측에 체계적인 접근 방식을 사용합니다. 비슷한 공격에는 사전 공격, 사전의 단어 목록을 사용하여 코드를 해독 할 수 있습니다. 다른 공격은 일반적으로 사용되는 암호로 시작할 수 있습니다. 이들은 때로는 무차별 대입 공격이라고합니다. 그러나 그들은 몇 가지 논리를 사용 어떤 반복이 가장 가능성이 높은지를 결정하기 위해,보다 정확하게 하이브리드 무차별 대입 공격이라고합니다..

역 폭력 공격

역 무차별 대입 공격에는 공통 비밀번호 또는 비밀번호 그룹 사용 여러 가능한 사용자 이름에 대해 이는 단일 사용자를 대상으로하지 않지만 특정 네트워크에 액세스하는 데 사용될 수 있습니다.

이러한 유형의 공격에 대한 최선의 보호 방법은 강력한 암호를 사용하거나 관리자의 관점에서 강력한 암호를 사용해야한다는 것입니다..

자격 증명 소

자격 증명 소는 무차별 대입 공격의 고유 한 형태입니다. 위반 된 사용자 이름 및 비밀번호 쌍을 사용합니다.. 사용자 이름 / 암호 쌍이 알려진 경우 공격자는이 이름을 사용하여 여러 사이트에 대한 액세스를 시도 할 수 있습니다. 사용자 계정에 들어가면 해당 계정을 완전히 제어하고 보유한 세부 정보에 액세스 할 수 있습니다.

이중 인증 및 보안 질문과 같은 예방 조치는 이러한 종류의 공격으로 인한 피해를 방지하는 데 도움이 될 수 있습니다. 그러나 최상의 보호는 사용자가 여러 계정에 대해 동일한 암호를 사용하지 않는 것입니다.

무차별 대입 공격의 목표

해커가 성공적으로 로그인을 시도하면 다음은 무엇입니까? 대답은 수행 할 수있는 모든 것들입니다. 주요 내용은 다음과 같습니다.

  • 온라인 계정에서 발견 된 사용자의 개인 정보 도용 또는 노출
  • 타사에 판매 할 자격 증명 수집
  • 계정 소유자로 위장하여 허위 콘텐츠 또는 피싱 링크 확산
  • 다른 활동에 사용하기위한 시스템 자원 훔치기
  • 관리자 자격 증명에 액세스하여 웹 사이트 손상
  • 악성 코드 또는 스팸 콘텐츠 확산 또는 도메인을 악성 콘텐츠로 리디렉션

언급 한 바와 같이, 무차별 대입 공격은 시스템의 취약성을 테스트하는 데 사용될 수도 있으므로 항상 악의적 인 것은 아닙니다.

무차별 대입 공격의 예

무차별 대입 공격은 항상 진행되며, 주목할만한 사례가 많이 있습니다. 우리는 많은 과거와 지속적인 공격에 대해 알지 못하지만 최근 몇 년 동안 밝혀진 몇 가지가 있습니다.

  • 알리바바 : 인기있는 전자 상거래 사이트에 대한 2016 년의 대규모 무차별 공격으로 수백만의 계정에 영향을 미쳤습니다..
  • 마 젠토 : 2018 년 3 월, 마 젠토는 사용자에게 무차별 대입 공격으로 인해 최대 1,000 개의 관리자 패널이 손상되었음을 경고해야했습니다..
  • 북 아일랜드 의회 : 또한 2018 년 3 월, 북 아일랜드 의회의 여러 회원의 계정에 무차별 대입 공격자가 접근했습니다..
  • 웨스트 민스터 의회 : 2017 년 Westminster Parliament에 대한 초기 공격으로 최대 90 개의 이메일 계정이 손상되었습니다..
  • Firefox : 2018 년 초에 Firefox의 '마스터 비밀번호'기능을 쉽게 무차별 공격 할 수 있음이 밝혀졌습니다. 이는 지난 9 년 동안 많은 사용자의 자격 증명이 노출되었을 수 있음을 의미합니다.

범죄자들이 무차별 대입 공격을 자주 사용하지만 할 수있다 시스템 테스트에 도움이됩니다. 또한 다른 방법을 사용한 경우 비밀번호 복구를위한 백업 옵션을 제공 할 수 있습니다..

무차별 대입 공격을 발견하는 방법

서비스 제공 업체로부터 누군가가 임의의 위치에서 귀하의 계정에 로그인했다는 이메일을받는 것은 드문 일이 아닙니다. 이런 일이 발생하면 무차별 대입 공격의 피해자 일 수 있습니다. 이 경우 즉시 비밀번호를 변경하는 것이 좋습니다. 탐지되지 않거나보고되지 않은 무차별 대입 공격의 피해자가 된 경우를 대비하여 민감한 계정의 비밀번호를 정기적으로 변경하고 싶을 수도 있습니다..

네트워크 관리자 인 경우 웹 사이트와 사용자의 보안이 무차별 대입 공격의 징후, 특히 성공적인 공격을 찾는 것이 중요합니다. 로그인에 실패한 사용자는 잊어 버린 사용자에 의한 것일 수 있지만 사이트가 공격을 당할 가능성이 있습니다. 주의해야 할 사항은 다음과 같습니다.

  • 동일한 IP 주소에서 여러 번의 로그인 시도가 실패했습니다. 그러나 대규모 조직에서 프록시 서버를 사용했기 때문에 발생할 수 있습니다..
  • 동일한 IP 주소에서 여러 사용자 이름으로 로그인을 시도합니다. 다시 말하지만 이것은 단순히 대규모 조직에서 온 것일 수 있습니다.
  • 다른 IP 주소에서 온 단일 사용자 이름에 여러 번 로그인을 시도합니다. 프록시를 사용하는 한 사람 일 수도 있습니다..
  • 예를 들어, 순차적 인 알파벳 또는 숫자 패턴을 따르는 로그인 시도 실패의 비정상적인 패턴.
  • 성공적인 로그인 시도 후 사용중인 비정상적인 대역폭입니다. 이것은 자원을 훔치기 위해 설계된 공격을 알릴 수 있습니다.

사용자 입장에서 보면, 무차별 대입 공격으로 인해 계정이 침해되었는지 알기가 매우 어려울 수 있습니다. 계정을 위반 한 후 알림을받는 경우 최선의 조치는 계정에서 변경하지 않은 부분이 있는지 계정을 확인하고 즉시 비밀번호를 변경하는 것입니다..

관련 : 계정이나 이메일이 해킹 된 경우 수행 할 작업

무차별 대입 공격을 막기 위해 할 수있는 일

로그인 시도가 많기 때문에 무차별 대입 공격을 쉽게 탐지 할 수 있습니다. 공격 시도를 막는 것은 로그인 시도에서 오는 IP 주소를 차단하는 것만 큼 간단하다고 생각할 것입니다. 안타깝게도 해커가 개방형 프록시 서버를 통해 시도를 통과하여 다른 IP 주소에서 온 도구를 사용할 수 있기 때문에 그리 간단하지 않습니다. 여전히 사용자이든 관리자이든 다음과 같은 방법으로 무차별 대입 공격을 막을 수 있습니다.

  1. 강력한 비밀번호 사용 또는 요구
  2. 제한된 수의 로그인 시도 허용
  3. 보안 문자 사용
  4. 시도 간 시간 지연 설정
  5. 보안 질문하기
  6. 이중 인증 활성화
  7. 여러 개의 로그인 URL 사용
  8. 공격 소프트웨어 속이기

대부분의 측정 값은 관리자가 구현해야하므로이 섹션에서는 해당 관점의 내용에 중점을 둡니다. 사용자는 강력한 암호를 사용하고 보안 기능 (선택 사항)을 활용하는 등 시스템을 강화하는 데 도움이 될 수있는 영역에 여전히주의해야합니다..

1. 강력한 비밀번호

네트워크 관리자 인 경우 사용자가 강력한 암호를 입력하도록하여 무차별 대입 공격을 방지 할 수 있습니다. 예를 들어, 특정 길이를 요구할 수 있으며 비밀번호에 숫자 및 특수 문자와 함께 대소 문자를 혼합하는 등의 특정 기능이 포함되어있을 수 있습니다..

사용자 관점에서 볼 때 강력한 암호는 필수적입니다. 일반적인 암호 나 사전의 간단한 단어를 사용하면 무차별 대입 공격 도구가 올바른 암호를 쉽게 찾을 수 있습니다. 확실한 암호를 사용하는 것은 어려울 수 있지만 다음은 몇 가지 팁입니다.

  • 순차적 인 도구를 반복 실행하는 데 시간이 오래 걸리기 때문에 더 긴 비밀번호가 더 좋습니다..
  • 대문자와 소문자, 숫자 및 특수 문자의 조합을 사용하면 비밀번호가 더 강력 해집니다..
  • 다른 계정에 동일한 암호를 사용하지 않으면 특정 유형의 공격에 덜 취약합니다..

물론 강력한 암호를 찾아서 기억하는 것은 어려울 수 있지만 도움이되는 도구가 있습니다. 여기에는 비밀번호 생성기 도구, 비밀번호 강도 테스트 도구 및 LastPass, KePass, Dashlane 및 Sticky Password와 같은 비밀번호 관리자 도구가 포함됩니다..

2. 로그인 시도 횟수 제한

무차별 대입 공격에 대한 하나의 일반적인 방어 방법은 로그인 시도 횟수를 논리적 인 숫자 (아마도 5에서 10 사이)로 제한하는 것입니다. 이 작업을 수행하면 일종의 복구 방법을 제공 정품 사용자가 잠긴 경우를 위해 추구.

예를 들어 이메일 확인을 통해 비밀번호를 변경할 수있는 복구 옵션을 제공 할 수 있습니다. 또는 잠금이 발생한 경우 연락 할 수있는 지원 연락처 또는 이메일을 제공 할 수 있습니다..

당신은 또한 블록에 시간 제한을 두는 것을 고려하십시오. 짧은 시간 안에 많은 무차별 대입 공격이 발생하기 때문에 필요한 임시 잠금이 필요할 수 있습니다. 전체 사용자 경험에 대한 부정적인 영향을 최소화하기 위해 잠금 시간을 1 시간 또는 2 시간으로 설정할 수 있습니다.

이는 안전한 옵션과는 거리가 멀고 여러 가지 잠재적 인 문제가 있음을 명심하십시오. 이 측정법의 문제 중 하나는 일부 무차별 강제 도구는 매번 암호를 전환 할뿐만 아니라 각 시도마다 다른 사용자 이름을 시도한다는 것입니다.

다른 계정으로 시도한 경우 단일 계정이 잠기지 않습니다. 수 제한 각 IP 주소에 대한 시도 논리적으로 의미가 있지만 위에서 언급했듯이 각 시도마다 다른 IP 주소를 사용할 수 있으며이 경우이 방법은 효과적이지 않습니다. 대안은 브라우저 또는 장치 단위로 차단 쿠키 사용.

이 전술의 또 다른 문제는 잠금을 사용하여 사용자 이름 추측 시도에서 실제 사용자 이름 수집 실제 사용자 이름 만 잠금 메시지를 전달합니다. 또한 잠금은 실제로 사용자가 계정에 액세스하지 못하도록 차단하기 위해 전략적으로 사용될 수 있습니다..

이러한 잠재적 인 문제를 모두 고려한 경우, 제한된 로그인 시도 전략은 적절한 상황에서만 사용해야합니다..

3. 보안 문자

CAPTCHA (컴퓨터와 인간을 구별하기위한 완전 자동화 된 공공 튜링 테스트)는 20 년이 넘었습니다. 그들은 사용할 수 있습니다 사람이 로그인을 시도하고 있는지 확인. 일부 보안 문자는 사용자에게 왜곡 된 텍스트를 다시 입력하거나, 확인란을 선택하거나, 간단한 수학 질문에 답변하도록 요청합니다..

× 보안 문자등록되지 않은 사용자가 무료 이미지를 다운로드 할 때 ×는 간단한 확인 표시 보안 문자를 사용합니다.

다른 것들은 조금 더 정교하며 사용자가 이미지에서 물체를 식별하도록 요구합니다.

의심 할 여지없이, 보안 문자의 단순성은 그들이 우회하기가 어렵지 않다는 것을 의미합니다. 그럼에도 불구하고 그들은 적어도 공격자가 될 수있는 장애물을 제시 할 수 있습니다. 특정 횟수의 로그인 시도 실패 후 보안 문자 필요와 같이이 목록의 다른 전술과 함께 보안 문자를 사용할 수 있습니다.

4. 시간 지연

로그인 시도 사이에 몇 초의 시간 지연을 구현하는 것은 기본적으로 들리지만 실제로 매우 효과적 일 수 있습니다. 일부 무차별 대입 공격은 적절한 조합을 빠르게 공격하기 위해 짧은 시간에 많은 시도를 기반으로합니다. 시도 사이의 짧은 지연이 심각하게 발생할 수 있습니다 노력할 가치가없는 지점까지 공격 속도를 늦추십시오. 반면에 일반 사용자에게는 지연이 거의 눈에 띄지 않을 수 있습니다..

이 전략은 일부는 의도적으로 느리게 설계되었으므로 모든 공격에 적용되지는 않습니다.

5. 보안 질문

많은 사용자가 보안 질문을 사용하는 것을 싫어하지만, 그 사용률은 무차별 대입 공격자에게 더 큰 고통이 될 수 있습니다. 특정 사용자에 대한 개인 정보가 포함 된 표적 공격이라도 과거의 보안 질문을 얻기가 어려울 수 있습니다..

더 나은 사용자 경험을 위해 실패한 특정 횟수의 로그인 시도 후에 만 ​​보안 응답 요청 또는 로그인에 새 장치가 사용될 때마다. 또는 공격이 발생한 것을 감지 한 경우 로그인 할 때 모든 사용자가 보안 질문에 대답하도록 요청하는 것이 좋습니다..

6. 이중 인증

서비스의 특성에 따라 2 단계 인증 규칙을 시행하여 사용자 경험을 악화시키지 않을 가능성이 있습니다. 그러나보다 보안에 민감한 사용자를 위해이 기능을 옵션으로 제공 할 수있는 것이 좋습니다.

자격 증명 다음에 전자 메일과 같은 간단한 2 단계 프로세스를 제공하도록 선택하거나 자격 증명, 소셜 미디어, 전자 메일, SMS 등을 포함한 다른 옵션 중에서 사용자가 결정하도록 할 수 있습니다..

이 유형의 인증에는 종종 혼동되거나 단순히 함께 번들로 제공되는 두 가지 다른 형식의 인증이 있습니다.. 2 단계 검증 (2SV) 일반적으로 SMS 또는 이메일을 통해 전송되는 확인 코드 또는 링크가 포함됩니다..

2 단계 인증 (2FA) 일반적으로 다른 형태의 확인을 두 번째 요소로 사용합니다. 여기에는 키 카드 또는 키와 같은 것들 또는 지문이나 망막 스캔과 같은 생체 인식 방법이 포함될 수 있습니다.

7. 고유 한 로그인 URL

무차별 대입 시도를 차단할 수있는 구체적인 옵션이 없기 때문에 여러 가지 방어 전략을 구현하는 것이 좋습니다. 이들 중 일부는 단순히 전술 전술과 관련 될 수 있습니다. 그러한 방법 중 하나는 사용자가 로그인 할 수있는 다른 URL 제공. 이 경우 각 사용자는 고유 한 로그인 URL을 가지거나 다른 사용자와 공유 된 URL을 사용하게됩니다..

이 방법은 각 URL이 제한된 양의 정보를 제공하므로 사용자 이름을 수집하는 데 사용되는 공격을 방지하는 데 특히 유용합니다. 이것은 일류 방법이 아니지만 공격 속도를 늦출 수 있습니다.

8. 시스템 트릭

또 다른 가능한 전술은 공격자 (또는 사용되는 소프트웨어)를 혼동하기 위해 상황을 전환하는 것입니다. 예를 들어, 일부 봇은 오류를 인식하도록 교육을 받았지만 동시에 실패한 로그인 시도를 위해 다른 실패 페이지로 리디렉션. 이것은 공격자가 최소한 더 정교한 소프트웨어로 작업을 강화해야한다는 것을 의미합니다..

다른 옵션으로는 계정에 대한 액세스를 허용하지만 새 페이지에서 비밀번호 요청 또는 기능이 매우 제한된 계정에 대한 액세스 권한 부여.

또는 역 방법을 사용할 수 있습니다. 웹 페이지 코드에 로그인 실패 오류를 포함. 로그인 시도가 성공하더라도 봇은 실패한 시도로이를 제공하도록 속일 수 있습니다. 이러한 형태의 난독 화는 종종 자동 공격이 무차별 대입 공격의 실패 또는 성공 여부를 이해하기 어렵게 만드는 데 사용됩니다..

다른 형태의 난독 화도 무차별 대입 시도로부터 보호 할 수 있습니다. 이 전략은 단순히 약한 시스템에 침투하려는 일반적인 사람을 버릴 정도로 충분할 수 있습니다. 그러나 이러한 트릭은 결정된 공격자가 우회 할 수 있으며 많은 선행 노력이 필요할 수 있습니다..

무차별 대입 공격으로부터 보호하기위한 결론

보다시피, 성공적인 공격을 막는 데 도움이되는 많은 옵션이 있습니다. 무차별 대입 공격의 특성은 사례마다 다르므로 실제로 예방을위한 담요 방법은 없습니다. 따라서 확실한 방어선을 만들기 위해 여러 전략을 조합하여 사용하는 것이 가장 좋습니다..

관련 :
웹 사이트 및 방문자의 보안을 향상시키는 30 개 이상의 무료 도구
컴퓨터 및 인터넷 보안에 대한 전문 용어 무료 가이드

이미지 크레디트 : 지노 크레스 코리 (아래에 라이센스가 있음 CC BY 2.0)

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

Add a Comment

Your email address will not be published. Required fields are marked *

1 + 6 =