حمله بروت فورس (Brute Force)؛ تهدیدی جدی برای امنیت آنلاین

بروت فورس، نوعی حمله سایبری است که در آن هکر تمام ترکیبات ممکن گذرواژه را تا زمان پیدا شدن مقدار صحیح امتحان می‌کند. اما چگونه می‌توان از این حمله در امان ماند؟

در دنیای امروز، امنیت اطلاعات یکی از مهم‌ترین چالش‌های پیش روی افراد و سازمان‌ها است و حملات سایبری یکی از اصلی‌ترین تهدیدات علیه امنیت اطلاعات هستند. گذرواژه‌ها، از مهم‌ترین عناصر امنیتی در دنیای دیجیتال بوده و مانند کلیدی عمل می‌کنند که در ورود به حساب‌های آنلاین، داده‌های شخصی، برنامه‌های غیرمتمرکز و الگوریتم‌های رمزنگاری خود باز می‌کند؛ اما چه اتفاقی می‌افتد اگر کسی بتواند گذرواژه شما را حدس بزند؟ چگونه می‌توانید از دسترسی غیرمجاز به اطلاعات خود جلوگیری کنید؟

اگر خاطرتان باشد، پیش‌تر در مقاله معرفی هکرهای کلاه رنگی، وقتی به هکرهای کلاه‌سیاه رسیدیم از حمله‌ای به نام بروت فورس، به‌عنوان یکی از فعالیت‌های غیرقانونی هکرها و تهدیدات سایبری خطرناک برای کلاهبرداری و باج‌گیری از دیگران، یاد کردیم.

حمله Brute Force در عین سادگی ممکن است عواقب فاجعه‌آمیزی برای قربانیانش به دنبال داشته باشد؛ در این مقاله از بیت پین، قصد داریم بررسی کنیم که چگونه هکرها، حتی آن مبتدی‌هایشان، با استفاده از روشی ساده ولی خطرناک به نام حمله بروت فورس، تلاش می‌کنند تا گذرواژه‌های شما را پیدا کنند. همچنین نکات و روش‌های مختلفی برای شناسایی و جلوگیری از این نوع حملات را معرفی خواهیم کرد.

حمله بروت فورس چیست؟

در علم رمزنگاری، حمله بروت فورس (Brute Force) یا حمله جستجوی فراگیر (Exhaustive Search) یا حمله غیرهوشمندانه، حمله‌ای است که در آن تمام حالات ممکن تا رسیدن به جواب بررسی می‌گردد. درواقع، این حمله، نوعی آزمون‌وخطا برای پیدا کردن اطلاعات و ورود غیرمجاز به سیستم‌ها است.

هکرها در حمله بروت فورس به جای استفاده از استراتژی‌هایی حساب‌شده، از امتحان تمام ترکیبات ممکن، برای حدس گذرواژه موردنظر خود بهره می‌برند. این نوع حمله سایبری مانند تلاش دزدی برای باز کردن درِ خانه‌ای قفل است که با وجود داشتن دسته‌کلید، نمی‌داند کدام کلید قفل در آن خانه را باز می‌کند. او تلاش می‌کند تا قبل از اینکه صاحبخانه از راه برسد، تمام کلیدها را امتحان کند، به امید اینکه بالاخره یکی از این کلیدها، در آن‌ خانه را باز کند.

عبارت Brute Force در لغت به معنی حمله به‌زور است و دقیقاً به این موضوع اشاره دارد که هکر با امتحان کردن تمام ترکیبات ممکن، امیدوار است تا درنهایت ترکیب درست گذرواژه را یافته و وارد حساب کاربری شخص موردنظر خود شود. حملات بروت فورس بر پایه آزمون خطا استوار است و به همین دلیل هم گاهی آن‌ را حمله غیرهوشمندانه معرفی می‌کنند؛ اما به‌شدت رایج است.

با اینکه شاید حملات بروت فورس، در ظاهر ساده به نظر برسند، اما از آنچه درباره روند پیدا کردن گذرواژه‌ها گفتیم باید متوجه شده باشید که اغلب بسیار زمان‌بر هستند. البته هکر‌ها در یک حمله Brute Force ساده معمولاً از ابزارهایی خودکار برای امتحان کردن تمام رمزهای عبور ممکن استفاده می‌کنند، اما حتی همین فرایند هم بسته به رمزنگاری، ممکن است به زمان بسیار زیادی نیاز داشته باشد.

از سوی دیگر اگر رمز عبوری که برای سیستم یا حساب خود انتخاب کرده‌اید، ضعیف باشد، با حمله بروت فورس می‌توان در عرض چند ثانیه و بدون هیچ زحمتی، آن را پیدا کرد. سازمان‌ها اغلب برای طولانی‌تر کردن زمان موردنیاز در حمله بروت فورس، ترکیب رمزهای پیچیده‌ای را انتخاب می‌کنند تا به‌محض اطلاع از حمله سایبری، زمان لازم برای خنثی‌کردن آن را داشته باشند.

حمله بروت فورس چگونه انجام می‌شود؟

در حمله بروت فورس هکر با استفاده از تکنیک‌های مختلف، برای کشف گذرواژه یا داده موردنظر تلاش می‌کند. آن‌ها معمولاً از ابزارهای نرم‌افزاری خودکار و قدرت پردازش بالای کامپیوتر خود استفاده می‌کنند که توانایی ارسال درخواست‌های زیاد و متنوع به سیستم هدف را داشته باشند. واقعیت این است که هکرها هم مانند بقیه افراد جامعه، زندگی دارند و نمی‌توانند تمام عمر خود را برای حدس تمام ترکیبات ممکن گذرواژه‌هایی قدرتمند تلف کنند؛ یعنی اصلاً این کار منطقی هم نیست!

آسان بودن یا طاقت‌فرسا بودن حمله بروت فورس، به درجه سختی گذرواژه‌های موردنظر هکرها بستگی دارد. گذرواژه‌‌ها در ساده‌ترین حالت، ۴ کاراکتری هستند که با در نظر گرفتن ترکیبی از حروف انگلیسی کوچک و بزرگ و اعداد (جمعاً ۶۲ کاراکتر)، ۶۲ به توان ۴ حالت یعنی ۱۴ میلیون و ۷۷۶ هزار و ۳۳۶ ترکیب ممکن برای گذرواژه‌ای ۴ کاراکتری وجود دارد. برای گذرواژه‌ای ۶ کاراکتری، تعداد ترکیبات ممکن به حدود ۵۶ میلیارد و ۸۰۰ میلیون می‌رسد.

فرض کنید برای امتحان کردن هر ترکیب ممکن، رباتی داشته باشید که در هر ثانیه، ترکیب را آزمایش کند، دقیقاً ۱۸۰۶ سال، ۳ هفته، ۵ روز، ۳ ساعت، ۱۳ دقیقه و ۴ ثانیه طول می‌کشد تا این گذرواژه ۶ کاراکتری پیدا شود، البته اگر ترکیب درست را آخرین حدس در نظر بگیریم. پس استفاده از ربات‌ها را هم کنار می‌گذاریم، اما این موضوع در مورد ابرکامپیوترها فرق می‌کند؛ آن‌ها می‌توانند به کمک نرم‌افزارهایی مخصوص در هر ثانیه ۱۰ به توان ۹ حالت ممکن را بررسی کنند و ترکیب درست را زیر یک دقیقه در اختیار هکر قرار دهند.

پس متوجه شدیم که هکر‌ها برای اجرای نرم‌افزارهای بروت فورس به قدرت رایانشی بسیار زیادی نیاز دارند؛ ترکیب قدرت پردازشی CPU با واحد پردازش گرافیکی یا همان GPU، قدرت پردازشی نسبتاً بالایی را برای کشف گذرواژه‌ها ارائه می‌دهد که با اینکه با ابرکامپیوترها برابری نمی‌کند، اما می‌تواند در زمانی نسبتاً کوتاه کار هکر را راه بیندازد.

انواع حمله بروت فورس

انواع مختلفی از حملات بروت فورس وجود دارد که هکرها از آن‌ها برای دسترسی به حساب‌های کاربری و سیستم‌های اطلاعاتی استفاده می‌کنند. در ادامه چند نوع رایج از حملات بروت فورس را معرفی می‌کنیم:

از پیوند بلاک‌چین و هوش مصنوعی، به پول می‌رسیم؟

جوابت تو شماره ۱۴ ماهنامه دامیننسه!

Please leave this field empty.

Δ

حمله بروت فورس ساده

حملات بروت فورس ساده یا حملات بروت فورس مستقیم، نوعی از حملات بروت فورس هستند که در آن هکر بدون استفاده از هیچ الگو، قالب، دیکشنری یا الگوریتم خاصی، تمام ترکیبات ممکن را به صورت تصادفی و ترتیبی امتحان می‌کند.

این حمله معمولاً برای کشف گذرواژه‌های کوتاه و ساده مناسب بوده و به دلیل نیاز به زمان و منابع زیاد، در صورت طولانی و پیچیده بودن گذرواژه، کارآمد نیست. برای مثال، اگر گذرواژه شامل ۶ حرف باشد و هر حرف می‌تواند ۲۶ حالت داشته باشد، تعداد ترکیبات ممکن برابر با ۲۶ به توان ۶ یا ۳٫۹ میلیون خواهد بود. این عدد با افزایش طول و پیچیدگی گذرواژه به صورت نمایی رشد می‌کند.

حمله دیکشنری

حملات دیکشنری (Dictionary attacks) نوعی از حملات بروت فورس هستند که در آن هکر با استفاده از فهرستی از گذرواژه‌های رایج یا مرتبط با هدف، سعی در کشف گذرواژه صحیح می‌کند. برای مثال، اگر گذرواژه ۱۲۳۴۵۶ را انتخاب کرده باشید، ازآنجاکه طبق وب‌سایت بررسی گذرواژه کسپرسکی، این گذرواژه تابه‌حال، در ۳۷٬۶۱۵٬۲۵۲ حمله نقض داده کشف شده، می‌توانید مطمئن باشید که ۱۲۳۴۵۶ گذرواژه‌ای است که در تمام دیکشنری‌های موجود برای حملات بروت فورس وجود دارد.

حمله بروت فورس معکوس

حملات بروت فورس معکوس (Reverse brute force attacks) همان‌طور که نامش پیدا است، برعکس حمله بروت فورس ساده است و در آن هکر با استفاده از گذرواژه‌ای رایج یا مرتبط با هدف، سعی در کشف نام کاربری صحیح می‌کند. از این حملات معمولاً برای سرویس‌هایی که تعداد زیادی نام کاربری دارند و گذرواژه‌های ضعیف را قبول می‌کنند، استفاده می‌شود.

فهرست گذرواژه‌های رایجی که افشا شده‌اند را به‌راحتی می‌توان در اطلاعات منتشر شده از کاربران پس از هک‌های مختلف، به دست آورد و سپس هکرها، این گذرواژه‌های فهرست شده را با میلیون‌ها نام کاربری مطابقت می‌دهد تا در نهایت بتوانند یکی از گذرواژه‌ها را با یکی از نام‌های کاربری، جور کند.

حمله دست‌کاری اعتبارنامه‌های دیجیتال

حملات دست‌کاری یا پرکردن اعتبارنامه‌های دیجیتالی (Credential Stuffing)، یکی از روش‌های متداول سوءاستفاده از اعتبارنامه‌های دیجیتال است که در آن مجرمان سایبری با استفاده از نام کاربری و رمز عبوری که در حملات سایبری قبلی به دست آورده‌اند، سعی در دسترسی به دیگر حساب‌های کاربری همان فرد می‌کنند. برخی کاربران معمولاً از یک ترکیب نام کاربری و گذرواژه یا الگویی مشخص برای ایجاد حساب کاربری در پلتفرم‌های مختلف استفاده کنند، این افراد بهترین طعمه‌ها برای حملات دست‌کاری اعتبارنامه هستند.

حمله دست‌کاری اعتبارنامه‌های دیجیتال معمولاً با استفاده از ربات‌ها و ابزارهای خودکار انجام می‌شود که توانایی ارسال درخواست‌های زیاد و متنوع به وب‌سایت‌های هدف را دارند. برخی از صنایع مانند خدمات مالی، بانکداری، تجارت الکترونیک و رسانه‌های اجتماعی بیشتر از سایرین در معرض خطر این حملات قرار دارند.

حمله بروت فورس هیبریدی

حملات بروت فورس هیبریدی (Hybrid brute force attacks)، نوعی از حملات بروت فورس هستند که در آن هکر با استفاده از فهرستی از گذرواژه‌های رایج یا مرتبط با هدف، سعی در کشف گذرواژه صحیح می‌کند؛ اما در این حمله، هکر تنها به فهرست خود اکتفا نمی‌کند، بلکه با اعمال تغییرات مختلف روی گذرواژه‌های فهرست، ترکیب‌های جدید و پیچیده‌تری را نیز امتحان می‌کند. برای مثال، اگر گذرواژه admin در فهرست باشد، هکر ممکن است تغییراتی مانند Admin، @dmin، admin123 و غیره را نیز آزمایش کند.

مثال‌هایی از حملات بروت فورس معروف در تاریخ

حملات بروت فورس در تاریخ نقش مهم و جالبی داشته‌اند. برخی از مثال‌های شگفت‌انگیز و معروف حملات بروت فورس عبارت‌اند از:

• حمله به وب‌سایت یاهو در سال ۲۰۱۶: در این حمله، بیش از ۵۰۰ میلیون حساب کاربری یاهو توسط هکرهای ناشناس مورد حمله قرار گرفتند و اطلاعات شخصی آن‌ها مانند نام‌های کاربری، گذرواژه‌ها، آدرس‌های ایمیل و شماره‌های تلفن به سرقت رفتند. هکرها با استفاده از روش‌های بروت فورس و دیکشنری، توانستند گذرواژه‌های ضعیف و رایج را حدس بزنند و به حساب‌های کاربران دسترسی پیدا کنند. این حمله یکی از بزرگ‌ترین نقض داده در تاریخ به شمار می‌آید.
• حمله به سایت لینکدین در سال ۲۰۱۲: در این حمله، بیش از ۱۱۷ میلیون حساب کاربری لینکدین توسط هکرهای روس مورد حمله قرار گرفتند و گذرواژه‌های آن‌ها به صورت هش شده در فروم‌های هکری به فروش رفتند. هکرها با استفاده از روش‌های بروت فورس و هش کرکینگ، توانستند گذرواژه‌های هش شده را بازگردانند و به حساب‌های کاربران دسترسی پیدا کنند. لینکدین پس از این حمله، تغییر گذرواژه را برای تمام کاربرانش اجباری کرد.
• حمله به سایت اشلی مدیسون در سال ۲۰۱۵: در این حمله، گروه هکری با نام The Impact Team، با استفاده از روش‌های بروت فورس و دستیاری SQL، به سایت اشلی مدیسون که سایت آشنایی برای افراد متأهل بود، نفوذ و داده‌های شخصی بیش از ۳۷ میلیون کاربر آن را منتشر کردند. نام‌های کاربری، گذرواژه‌ها، آدرس‌های ایمیل، شماره‌های کارت‌های اعتباری و جزئیات زندگی خصوصی کاربران فاش شد و بسیاری از کاربران سایت با مشکلات زندگی زناشویی، اخلاقی و حتی قانونی روبرو شدند.
• حل رمز ENIGMA: در جنگ جهانی دوم آلمان‌ها از یک دستگاه رمزنگاری به نام انیگما (ENIGMA) برای ارسال پیام‌های محرمانه خود استفاده می‌کردند. این دستگاه با الگوریتمی پیچیده، متن‌های عادی را به متن‌های رمزنگاری شده تبدیل می‌کرد که فقط با داشتن کلید مناسب قابل خواندن بودند. بریتانیایی‌ها موفق شدند تا با حملات بروت فورس، کلید رمز ENIGMA را پیدا کرده و با رمزگشایی بسیاری از پیام‌های آلمان‌ها، نقش مهمی در پیروزی متفقین داشته باشند.
• حل رمز ZIP: در سال ۱۹۹۵ فعال زیست‌محیطی به نام تیموتی مک وی، ۱۶۸ نفر را در حادثه بمب‌گذاری در اوکلاهاما سیتی کشت. وقتی پلیس به خانه او دستبرد زد، چندین فایل ZIP رمز شده در رایانه او پیدا کرد. این فایل‌ها شامل اطلاعات مربوط به ساخت بمب و همچنین لیست هدف‌های بعدی مک وی بودند. پلیس با استفاده از ۱۵۰ کامپیوتر و چندین الگوریتم بروت فورس، موفق شد تا رمز فایل‌ها را شکسته و به دادگاه ارائه دهد. این کار حدود ۱۰ روز طول کشید و در نهایت مک وی به اعدام محکوم شد.
• حل رمز iPhone: در سال ۲۰۱۶، تیراندازی به نام سید فاروق، ۱۴ نفر را در سان برناردو کالیفرنیا کشت. وقتی پلیس گوشی iPhone او را ضبط کرد، متوجه شد که با گذرواژه محافظت می‌شود و پس از ۱۰ بار وارد کردن گذرواژه نادرست، تمام داده‌های آن پاک خواهد شد. پلیس از شرکت اپل خواست تا به آن‌ها در شکستن قفل گوشی کمک کند، اما اپل این درخواست را رد کرد. در نهایت پلیس با استفاده از یک شرکت خصوصی به نام Cellebrite، توانست با حملات بروت فورس، گذرواژه گوشی را به دست آورد.

اهداف هکرها از حملات بروت فورس

حملات بروت فورس معمولاً برای دستیابی به اطلاعات شخصی کاربران ازجمله گذرواژه‌ها، نام‌های کاربری و پین کدها صورت می‌گیرند و هکرها برای این حملات از اسکریپت، بات یا نرم‌افزارهای مخصوص استفاده می‌کنند. اهدافی که هکرها از انجام حمله بروت فورس دنبال می‌کنند، شامل موارد زیر می‌شود: ‌

• سرقت اطلاعات شخصی مانند گذرواژه‌ها، نام‌های کاربری، آدرس‌های ایمیل، شماره‌های کارت‌های اعتباری و جزئیات زندگی خصوصی کاربران. این اطلاعات می‌توانند برای دسترسی به حساب‌های آنلاین، منابع شبکه، خدمات مالی و سایر سرویس‌های موردنظر هکر استفاده شوند یا به فروش رسانده شوند.
• نمایش تبلیغات اسپم در سایت‌های محبوب و پر ترافیک. هکرها با دسترسی به سایت‌ها می‌توانند تبلیغات نامربوط یا مضر را در آن‌ها قرار دهند و درآمد حاصل از کلیک‌ها را به جیب بزنند.
• تغییر مسیر (ریدایرکت) کاربران به سایت‌های موردنظر هکر. هکرها با دسترسی به سایت‌ها می‌توانند کاربران را به سایت‌های دیگر که ممکن است حاوی بدافزار، فیشینگ یا محتوای نامناسب باشند، هدایت کنند.
• آلوده کردن سایت‌ها و کاربران آن‌ها به بدافزارهای مختلف. هکرها با دسترسی به سایت‌ها می‌توانند کدهای خطرناک را در آن‌ها قرار دهند و باعث شوند کاربران با باز کردن صفحات سایت یا دانلود فایل‌های آن، به بدافزار مثل تروجان یا کی لاگر (keylogger) آلوده شوند.
• از بین بردن اعتبار محتوای یک سایت. هکرها با دسترسی به سایت‌ها می‌توانند محتوای آن‌ها را تغییر داده یا حذف کنند و باعث شوند کاربران به صحت و اعتبار سایت شک کنند یا از آن دور شوند.
• در اختیار گرفتن دستگاه و پسورد شما برای فعالیت‌های موردنظر. هکرها با دسترسی به دستگاه شما می‌توانند آن را تحت کنترل خود قرار داده و از آن برای اجرای حملات DDoS، فروش قدرت پردازش، ارسال ایمیل‌های اسپم یا دیگر فعالیت‌های غیرقانونی استفاده کنند.

البته گاهی هم حملات بروت فورس برای اهداف مفید به کار برده می‌شوند. برای مثال توسعه‌دهندگان برای آزمایش امنیت شبکه‌ها از ابزارهای حمله بروت فورس استفاده می‌کنند تا قدرت روش رمزنگاری شبکه را ارزیابی کرده و از حملات سایبری احتمالی در آینده جلوگیری کنند.

ابزارها و نرم‌افزار‌های حمله بروت فورس

ابزارها و نرم‌افزارهای حمله Brute Force، برنامه‌ها یا اسکریپت‌هایی هستند که برای انجام حملات بروت فورس طراحی شده‌اند. این ابزارها می‌توانند برای شکستن رمزهای عبور، شناسایی آسیب‌پذیری‌ها یا انجام سایر حملات سایبری استفاده شوند. برخی از ابزارهای و نرم‌افزارهای حمله بروت فورس عبارت‌اند از:

Aircrack-ng

Aircrack-ng، مجموعه نرم‌افزاری قدرتمند در زمینه امنیت شبکه وای‌فای است که با تمرکز بر نقاط آسیب‌پذیر مودم و شبکه وایرلس می‌تواند اقدام به تست نفوذ و هک وای‌فای کند. این مجموعه شامل ابزارهای مختلفی است که هر کدام وظیفه خاصی را انجام می‌دهند:

• aircrack-ng: ابزاری برای کرک رمزهای عبور WEP و WPA با استفاده از حمله دیکشنری یا تولید تصادفی.
• airmon-ng: ابزاری برای قرار دادن کارت شبکه وایرلس در حالت مانیتور برای رصد، ضبط و تحلیل ترافیک شبکه
• airodump-ng: ابزاری برای جستجو، شناسایی و ضبط بسته‌های شبکه وای‌فای.
• aireplay-ng: ابزاری برای ارسال بسته‌های خاص به شبکه وای‌فای به‌منظور حمله، تولید ترافیک یا تسریع در کرک رمز عبور.
• airdecap-ng: ابزاری برای رمزگشایی بسته‌های شبکه WEP یا WPA با استفاده از کلیدهای معروف.

این مجموعه نرم‌افزار معمولاً در سیستم‌های عامل‌ لینوکس، مک، ویندوز و حتی گوشی‌های هوشمند قابل‌استفاده است.

John the Ripper

John the Ripper، نرم‌افزاری قدرتمند برای حملات دیکشنری و بروت فورس به گذرواژه‌های هش‌شده است. این نرم‌افزار از الگوریتم‌های هش مختلفی ازجمله lm ،md4 و md5 پشتیبانی می‌کند و توانایی حملات بروت فورس ساده، ترکیبی، دیکشنری و چندین مدل حمله دیگر را دارد. John the Ripper معمولاً در سیستم‌های عامل‌ لینوکس، مک، ویندوز و حتی گوشی‌های هوشمند قابل‌استفاده است.

Rainbow Crack

Rainbow Crack، نرم‌افزاری سبک و تخصصی است برای رمزگشایی گذرواژه‌های هش‌شده با استفاده از جدول‌های رنگین‌کمان (Rainbow Tables)! جدول‌های رنگین‌کمان، تکنیک بهینه‌سازی زمان – حافظه هستند که با کاهش تعداد محاسبات هش، سرعت رمزگشایی را افزایش می‌دهند. این نرم‌افزار از الگوریتم‌های هش مختلفی مانند LM، NTLM، MD5، SHA1 و SHA256 پشتیبانی می‌کند و قابلیت تولید، مرتب‌سازی، ادغام، تبدیل و جستجو در جدول‌های رنگین‌کمان را دارد.

Rainbow Crack، از شتاب‌دهنده‌های گرافیکی AMD و انویدیا با استفاده از فناوری‌های OpenCL و CUDA بهره می‌برد و قابل‌استفاده در سیستم‌های عامل‌ ویندوز و لینوکس است.

L0phtCrack

L0phtCrack،‌ یکی از قدیمی‌ترین و معروف‌ترین ابزارهای کرک گذرواژه‌های ویندوز است که توسط گروه هکری L0pht Heavy Industries در سال ۱۹۹۷ عرضه شد. این نرم‌افزار با استفاده از روش‌های مختلفی مانند دیکشنری، بروت فورس، هش کرکینگ و غیره، توانایی شکستن گذرواژه‌های هش‌شده با الگوریتم‌های مختلف را دارد و قابلیت نظارت بر شبکه، برنامه‌ریزی و زمان‌بندی برای اسکن پسوردها، استخراج هش از ویندوزهای ۶۴ بیتی، الگوریتم‌های چندهسته‌ای و پشتیبانی از شتاب‌دهنده‌های گرافیکی را هم ارائه می‌دهد.

L0phtCrack، معمولاً توسط مدیران سیستم، متخصصان امنیت و هکرها برای بازیابی گذرواژه‌های فراموش شده، ضعیف یا نامناسب استفاده می‌شود.

Hashcat

Hashcat، نرم‌افزاری رایگان و قدرتمند برای بازیابی و هک پسورد و شکستن رمز عبور است که با استفاده از الگوریتم‌های خود، می‌تواند گذرواژه‌های هش‌شده را رمزگشایی کند. این نرم‌افزار سرعت بالایی در شکستن گذرواژه‌ها با بهره‌گیری از قدرت پردازش GPU دارد، از بیش از ۳۰۰ الگوریتم هش پشتیبانی می‌کند، می‌تواند چند هش را هم‌زمان با هم کرک کند، قابلیت کار با چند دستگاه در یک سیستم را دارد، می‌تواند متوقف شود و دوباره شروع به کار کند و در آخر هم قابلیت تغییر الگو و تولید تصادفی گذرواژه‌ها را دارد.

راهکارهای محافظت در برابر حملات بروت فورس

محافظت از گذرواژه‌ها در برابر حملات بروت فورس از دو طرف کاربر و صاحب وب‌سایت یا سیستم انجام می‌شود:

راهکارهایی که صاحب سیستم‌ها و وب‌سایت‌ها باید در نظر بگیرند

• محدود‌کردن تعداد دفعات وارد‌کردن گذرواژه نادرست؛ محدود‌کردن تعداد دفعاتی که هکر می‌تواند ترکیب‌های مختلف را برای پیدا‌کردن گذرواژه درست، امتحان کند و مسدودکردن حساب کاربر، می‌تواند جلوی هک سیستم یا حساب کاربری را بگیرد و در کار هکر وقفه ایجاد می‌کند.
• اجبار کاربر برای انتخاب گذرواژه‌های قوی؛ انتخاب کلماتی که در فهرست عبارات فاش شده برای حملات بروت فورس وجود ندارند، یا پرهیز از استفاده از اطلاعات شخصی، مانند شماره‌حساب بانکی برای انتخاب گذرواژه، یکی دیگر از اقدامات موردنیاز برای حفاظت از حمله بروت فورس است.
• استفاده از گذرواژه‌های یک‌بارمصرف؛ توکن‌های یا گذر‌واژه‌های یک‌بارمصرف کمک می‌کند تا برای دسترسی به وب‌سایت، هر بار رمز عبور منحصر‌به‌فردی برای شما ایجاد شود و احتمال رخ داد حمله فورس را کاهش می‌دهد.
• استفاده از احراز هویت چندعاملی؛ احراز هویت دوعاملی یا 2FA، مانند ارسال کدی ازطریق پیامک به گوشی هوشمند یا به‌کارگرفتن اپلیکیشن‌های احراز هویت دوعاملی مانند گوگل آتنتیکیتور (Google Authenticator) که به طور خودکار رمزهای عبور یک‌بارمصرف تولید می‌کنند، باعث می‌شود تا کاربر برای هر بار ورود به سیستم گذرواژه‌ای منحصربه‌فرد داشته باشد که هکر به آن دسترسی ندارد.
• استفاده از کپچا (Captcha)؛ سیستم‌ها می‌توانند با تعریف کپچاهای مختلف مانند تایپ متنی که در تصویر نمایش داده شده، زدن تیک I’m not a robot یا تشخیص اشیا در تصاویر، کاربر را از ربات متمایز کرد.

راهکارهایی که کاربرها باید در نظر بگیرند

مؤثرترین راهکاری که کاربر برای محافظت در برابر حملات بروت فورس باید رعایت کند، انتخاب گذرواژه‌ای قوی است:

• طولانی و ترکیبی از حروف، اعداد و نمادهای خاص باشد. برای مثال، گذرواژه‌ای مانند !@#QwErT123 قوی‌تر از گذرواژه‌ای مانند password است.
• منحصربه‌فرد و تصادفی باشد. برای مثال، گذرواژه‌ای مانند bolt vat frisky fob land hazy rigid قوی‌تر از گذرواژه‌ای مانند iloveyou است.
• رایج و قابل‌پیش‌بینی نباشد. برای مثال، گذرواژه‌ای مانند d07;oj7MgLz’%8 قوی‌تر از گذرواژه‌ای مانند 123456 است.

برای هر سرویس یا حساب کاربری متفاوت باشد. برای مثال، گذرواژه‌ای که برای ورود به ایمیل خود استفاده می‌کنید، نباید همان گذرواژه‌ای باشد که برای ورود به شبکه‌های اجتماعی خود استفاده می‌کنید.

ارزیابی درجه امنیت پسورد

درجه امنیت پسورد به عوامل مختلفی، مانند طول پسورد، ترکیب حروف، اعداد و نماد‌ها و استفاده نکردن از کلمات یا عبارات موجود و قابل حدس، بستگی دارد؛ شما برای ارزیابی درجه امنیت پسورد خود، می‌توانید از ابزارهای آنلاین مختلفی استفاده کنید که معمولاً پسورد شما را بر اساس عوامل مختلف بررسی کرده و امتیاز امنیتی به آن می‌دهند. در ادامه چند ابزار آنلاین برای ارزیابی درجه امنیت پسورد معرفی می‌کنیم:

• Have I Been Pwned: پسورد شما را با پایگاه داده‌ای از رمزهای عبور هک شده مقایسه می‌کند. اگر پسورد شما در این پایگاه‌داده وجود داشته باشد، به این معنی است که ممکن است توسط هکرها شناخته شده باشد.
• Password Meter: پسورد شما را بر اساس عوامل مختلفی ارزیابی کرده و امتیازی امنیتی به آن می‌دهد.
• Strong Password Generator: پسوردی قوی و تصادفی برای شما ایجاد می‌کند.

برای ایجاد پسوردی قوی و غیرقابل‌پیش‌بینی بهتر است از حداقل ۱۲ کاراکتر استفاده کنید، از ترکیبی از حروف، اعداد و نمادها استفاده کنید، کلمات یا عبارات موجود را به کار نبرید و از پسوردهای مشابه برای حساب‌های مختلف استفاده نکنید.

حمله بروت فورس در دنیای ارزهای دیجیتال

حملات بروت فورس یکی از رایج‌ترین انواع حملات سایبری است که در دنیای ارز دیجیتال نیز مورداستفاده قرار می‌گیرد. در این نوع حمله، هکرها با استفاده از فهرستی از رمزهای عبور احتمالی، سعی می‌کند به حساب کاربری یا کیف پول ارز دیجیتالی که از رمزهای عبور متنی ساده استفاده می‌کنند، دسترسی پیدا کند.

روش دیگر حمله بروت فورس در دنیای ارز دیجیتال، حمله به صرافی‌های ارز دیجیتال است. در این نوع حمله، هکر با استفاده از فهرستی از رمزهای عبور کاربران صرافی، سعی می‌کند به حساب‌های آنها دسترسی پیدا کند و ارزهای دیجیتال آنها را به سرقت ببرد.

حملات بروت فورس در دنیای ارز دیجیتال می‌تواند خسارات مالی زیادی به کاربران وارد کند؛ بنابراین، مهم است که کاربران برای محافظت از ارزهای دیجیتال خود، اقدامات امنیتی لازم را انجام دهند. چند نمونه از حملات بروت فورس در دنیای ارز دیجیتال عبارت‌اند از:

• در سال ۲۰۲۲، هکرها موفق شدند با استفاده از حمله بروت فورس، به کیف پول‌های ارز دیجیتال بیش از ۱۰۰ میلیون دلار ارز دیجیتال سرقت کنند.
• در سال ۲۰۲۱، صرافی ارز دیجیتال کوکوین (KuCoin) مورد حمله بروت فورس قرار گرفت و بیش از ۲۰۰ میلیون دلار ارز دیجیتال از آن سرقت شد.
• در سال ۲۰۲۰، صرافی ارز دیجیتال بیت فینکس (Bitfinex) مورد حمله بروت فورس قرار گرفت و بیش از ۷۰ میلیون دلار ارز دیجیتال از آن سرقت شد.
• این حملات نشان می‌دهد که حملات بروت فورس یکی از تهدیدات جدی در دنیای ارز دیجیتال است.

گفتار پایانی

حمله بروت فورس یکی از ساده‌ترین و قدیمی‌ترین انواع حملات سایبری است که در آن هکرها با استفاده از فهرستی از رمزهای عبور احتمالی، سعی می‌کند به حساب کاربری یا سیستم اطلاعاتی دسترسی پیدا کنند. یکی از روش‌های متداول حملات بروت فورس، حمله به رمزهای عبور متنی ساده است. این حملات می‌توانند خسارات مالی، اطلاعاتی، یا حتی جانی به کاربران وارد کند، بنابراین، مهم است که کاربران برای محافظت از خود در برابر این حملات، اقدامات امنیتی لازم را انجام دهند.