Что такое атака грубой силы?

1. Итак, что же такое атака грубой силы?
2. Тогда как это может произойти?
3. Хакер мотив за акт.
4. Это страшно! Что делать сейчас?
5. Как я могу предотвратить это?
6. Длина пароля:
7. Сложность пароля:
8. Ограничить попытки входа в систему:
9. Изменение файла .htaccess:
10. Использование капчи:
11. Двухфакторная аутентификация:
12. Cloudflare:
13. Другие лучшие практики:
14. Начните расти с Cloudways сегодня.
15. Ибад Ур Рехман

Время чтения: 6 минут

В мире киберпреступлений атака методом "грубой силы" - это действие, которое включает в себя повторяющиеся последовательные попытки пробовать различные комбинации паролей для проникновения на любой веб-сайт. Эта попытка энергично осуществляется хакерами, которые также используют ботов, которые они злонамеренно установили на других компьютерах, для увеличения вычислительной мощности, необходимой для выполнения атак такого типа.

Итак, что же такое атака грубой силы?

Атака грубой силы - это самый простой способ получить доступ к сайту или серверу (или всему, что защищено паролем). Он пробует различные комбинации имен пользователей и паролей снова и снова, пока не войдет. Это повторяющееся действие похоже на армию, нападающую на форт.

Теперь вы будете думать: «Ого, это легко, я тоже могу это сделать».

Вы можете попробовать это точно!

Обычно каждый общий идентификатор (например, «admin») имеет пароль. Все, что вам нужно сделать, это попытаться угадать пароль. Скажем, если это 2-значный пин, у вас есть 10 цифр от 0 до 9. Это означает, что есть 100 возможностей. Вы можете выяснить это с помощью ручки и бумаги, как мистер Бин, который пытался найти правильные две последние цифры номера телефона отца погибшего ребенка в фильме «Праздник мистера Бина» .

Но правда в том, что ни один пароль в мире не состоит всего из 2 символов. Даже пин-коды (своего рода пароль), используемые на мобильных телефонах или в банке, состоят минимум из 4 символов.

И в интернете 8 - это обычно стандартный номер для самой короткой длины пароля. Кроме того, сложность добавляется по мере добавления алфавитов в пароле, чтобы сделать его более безопасным. Кстати, алфавиты могут использоваться как в верхнем, так и в нижнем регистре, что делает пароль чувствительным к регистру.

Скажем, если у нас есть буквенно-цифровой 8-значный пароль, сколько возможных комбинаций можно было бы сделать? На английском языке 26 алфавитов. Удвойте их как в верхнем, так и в нижнем регистре, и число будет равно 26 + 26 = 52.

Затем мы добавляем числовые цифры: 52 + 10 = 62

Итак, у нас всего 62 персонажа.

Для 8-символьного пароля это будет 628, что составит 2,1834011 × 1014 возможных комбинаций.

Если мы попробуем 218 триллионов комбинаций с одной попытки в секунду, это займет 218 триллионов секунд или 3,6 триллиона минут. Проще говоря, потребуется всего около 7 миллионов лет, чтобы взломать пароль с окончательной комбинацией. Конечно, это может занять меньше времени, но максимальный срок взлома буквенно-цифрового 8-символьного пароля составляет 7 миллионов лет.

Ну, ты не проживешь так долго.

Тогда как это может произойти?

Что ж, если вы заинтересованы в взломе паролей, вам придется использовать компьютеры. Для этого вам нужно написать несколько простых строк кода. Такие навыки программирования являются базовыми для любого программиста.

Теперь предположим, что вы разработали программу для взлома паролей, которая пробует 1000 комбинаций в секунду. Время сокращается до 7 тысяч лет.

Невозможно!

Ну, тебе нужен суперкомпьютер. Итак, допустим, вы получаете суперкомпьютер, который может делать 1 × 109 попыток в секунду. Всего за 22 секунды будут проверены все 218 триллионов попыток. (Надеюсь, вы будете внутри учетной записи, но если пароль длиной 9 символов, вам придется подождать еще несколько минут.)

Вычислительные ресурсы такого рода недоступны для простых людей. Однако хакеры паролей не обычные люди. Они могут собирать вычислительные ресурсы различными способами, например, путем разработки мощного вычислительного механизма с помощью программного обеспечения и т. Д.

Кроме того, приведенный выше расчет относится ко всем возможным комбинациям 8-символьного пароля. Но что, если ваш пароль - 10-я комбинация или 100-я комбинация? Вот почему важно иметь дополнительные уровни безопасности для обнаружения и отклонения любой попытки взлома пароля.

Хакер мотив за акт.

За атаку грубой силой мотив хакера состоит в том, чтобы получить нелегальный доступ к целевому веб-сайту и использовать его для выполнения другого вида атаки или кражи ценных данных или просто для его закрытия. Также возможно, что злоумышленник заразит целевой сайт вредоносными сценариями для долгосрочных целей, даже не коснувшись ни одной вещи и не оставив никаких следов. Поэтому рекомендуется проводить частые проверки и следовать рекомендациям, чтобы защитить свой сайт WordPress ,

Это страшно! Что делать сейчас?

Здесь очень много инструменты доступны для защиты различных приложений, которые будут отказывать пользователю после заданного количества попыток.

Например, для SSH мы можем использовать Fail2ban или же Отрицать хосты. Эти программы будут отклонять IP-адрес после нескольких неправильных попыток. Эти инструменты делают хорошую работу. Тем не менее, есть поворот во всем этом.

В последнее время наблюдается экспоненциальный рост числа атак методом перебора. Эти атаки происходят из разных стран мира, и с каждым днем ​​они становятся все более изощренными. Поэтому мы все должны стараться быть бдительными.

WordPress - это широко используемая платформа веб-разработки с открытым исходным кодом. Более 30% сайтов работают на этой платформе. Из-за своей популярности, это также любимая цель хакеров. Для того, чтобы разместить максимальное количество параметров безопасности; Я перечислил несколько эффективных методов, чтобы предотвратить ваш сайт WordPress от атаки грубой силы.

Magento, с другой стороны, предлагает другой уровень безопасности, добавляя ключ к URL-адресу администратора. Это означает, что никто не может открыть URL-адрес администратора без добавления секретного ключа, доступного только пользователю-администратору. Узнайте больше о безопасности Magento ,

Как я могу предотвратить это?

Да, вы можете принять некоторые меры предосторожности:

• Длина пароля.
• Сложность пароля.
• Ограничить попытки входа в систему.
• Изменение файла .htaccess.
• Использование капчи.
• Двухфакторная аутентификация.
• Cloudflare.

Длина пароля:

Первым шагом к предотвращению атаки методом грубой силы должно быть увеличение длины пароля. В настоящее время многие сайты и платформы заставляют своих пользователей создавать пароль определенной длины (8-16 символов).

Сложность пароля:

Еще одна важная вещь, чтобы создать сложный пароль. Не рекомендуется создавать пароли типа 'ilovemycountry' или 'password123456'; вместо этого ваш пароль должен состоять из прописных и строчных букв, а также должен содержать цифры и специальные символы. Сложность пароля задерживает процесс взлома.

Ограничить попытки входа в систему:

Простое, но очень мощное действие - ограничить попытки входа в систему вашего администратора WordPress или любой другой панели администратора. Например, если ваш сайт получает пять неудачных попыток входа в систему; он должен блокировать этот IP на определенный период времени, чтобы прекратить дальнейшие попытки.

Изменение файла .htaccess:

Добавление нескольких правил в файл .htaccess может еще больше повысить безопасность вашего сайта WordPress. Задача - разрешить wp-admin доступ только к определенным IP-адресам, указанным в файле .htaccess.

Для этого откройте файл .htaccess и измените его следующим образом:

Порядок <Files / wp-login> запретить, разрешить разрешение от IP1 разрешить от IP2 запретить все </ Files>

IP1 и IP2 будут теми IP-адресами, к которым вам разрешен доступ.

Использование капчи:

В настоящее время капчи обычно используются на веб-сайтах. Они не позволяют ботам выполнять автоматические сценарии, используемые в основном в атаке грубой силы. Установка капчи на вашем сайте WordPress довольно проста.

Установите Google невидимый плагин reCaptcha и войдите в свою учетную запись Google. Теперь вернитесь на страницу настроек плагина и определите места, где вы бы хотели, чтобы пользователь сначала получил капчу, прежде чем выполнять реальную задачу. Этот плагин также поддерживает WooCommerce, BuddyPress и пользовательские формы.

Для получения дополнительной информации, пожалуйста, обратитесь к Безопасность WordPress с плагином Google Invisible reCaptcha ,

Двухфакторная аутентификация:

Двухфакторная аутентификация - это дополнительная линия защиты, которая может защитить ваш аккаунт от атаки грубой силы. Шансы на успешную атаку грубой силы на защищенные сайты 2FA очень малы. Существуют различные способы реализации 2FA на вашем сайте WordPress. Самый простой способ - использовать любой из лучших Плагины WordPress для двухфакторной аутентификации ,

Cloudflare:

Cloudflare - это известный сервис для WordPress, который обычно занимается CDN и кэшированием. Он также предлагает защитный щит от атак грубой силы. Через настройки Cloudflare пользователь может установить правила доступа к страницам входа и установить проверку целостности браузера.

Если вы уже используете Cloudflare, то я предлагаю вам ознакомиться с этим руководством по защитить ваш сайт WordPress от атаки грубой силы ,

Другие лучшие практики:

• Уникальный пароль для каждой учетной записи.
• Частая смена пароля.
• Избегайте совместного использования учетных данных через небезопасные каналы.

Я в безопасности на Cloudways?

Да. В Cloudways мы остаемся на высоте, когда речь заходит о безопасности сервера. Наша система безопасности способна выявлять атаки с использованием грубой силы и запрещать использование IP-адресов в таких атаках. Управление серверами на нашей платформе является одним из наших главных приоритетов.

За последние несколько месяцев мы исправили серверы для всех обнаруженных недостатков безопасности, включая такие популярные, как Heartbleed и GHOST.

Поэтому мы всегда работаем над тем, чтобы защитить нашу платформу Cloudways и серверы, размещенные на ней.

Начните расти с Cloudways сегодня.

Наши клиенты любят нас, потому что мы никогда не идем на компромисс с этими

Ибад Ур Рехман

Ибад Ур Рехман, менеджер сообщества WordPress в Cloudways. Ему нравится изучать новейшие технологии с открытым исходным кодом и взаимодействовать с различными сообществами. В свободное время он любит читать, смотреть сериалы или летать на своем любимом Cessna 172SP в симуляторе полета X Plane 10.

Похожие

Комментарии