Brute Force Attack là gì? Hậu quả khi bị tấn công

 09/12/2019 09:20:00 Trịnh Duy Thanh

Brute Force là gì?

Brute Force là một loại tấn công mạng, khi đó bạn sử dụng phần mềm, sau đó xoay vòng các ký tự khác nhau, kết hợp chúng để tạo ra một mật khẩu đúng. Phần mềm Brute Force Attack password cracker đơn giản sẽ sử dụng tất cả các kết hợp có thể để tìm ra mật khẩu máy tính hoặc máy chủ mạng. Phương pháp tấn công này vô cùng đơn giản mà không phải sử dụng bất kì kỹ thuật thông minh nào. Dựa trên cơ sở là toán học và xoay vòng số nên để tấn công hiệu quả sẽ cần phải tốn một khoảng thời gian để mở mật khẩu. Số thời gian chỉ cần tính bằng giây và nhanh hơn rất rất nhiều lần so với bộ óc của con người.

Phần mềm tấn công mạng Brute Force

Phần mềm tấn công mạng Brute Force

Phương pháp tấn công Brute Force tốt hay xấu còn phụ thuộc vào mục đích mà người tấn công muốn hướng tới là gì. Trong trường hợp sử dụng vào mục đích xấu thì tất nhiên rồi, chúng sẽ cố hack vào sâu bên trong máy chru của bạn, chiếm quyền quản trị viên. Còn trong trường hợp nó được sử dụng vào mục đích tốt thì người thực hiện có thể đang muốn kiểm tra hệ thống bảo mật SSL có được tốt hay không, hoặc cũng có trường hợp là người dùng quên mật khẩu đăng nhập nên họ đã thông qua Brute Force để lấy lại được mật khẩu.

Hậu quả của tấn công Brute Force

Sau tấn công có thể dẫn tới lộ mật khẩu, lộ thông tin đăng nhập và những thông tin lưu trữ bên trọng cũng có nguy cơ cao bị lấy đi. Bên cạnh đó Server / Hosting của bạn sẽ mất một lượng lớn tài nguyên, gần tương tự như việc bị tấn công DDoS. Server thì có khả năng bị treo, yếu đi vì bị Brute Force Attack với tần xuất cao.

Nguyên nhân bị Brute Force Attack là gì?

  • Bạn có nguy cơ sẽ bị tấn Brute Force cao nếu như mật khẩu của bạn chỉ đang sử dụng chữ cái thường, không có thêm các kĩ tự đặc biệt hay số trong mật khẩu. Với trường hợp này thì chỉ mất từ 2-10 phút là sau cuộc tấn công, hacker đã lấy được mật khẩu hệ thống máy của bạn. Nên bạn cần chủ ý rằng, để gia tăng tính mạnh của mật khẩu thì phải kết hợp cả chữ thường, chữ hoa, số (thường mật khẩu là ít nhất 8 kí tự) thì phải mất đến 14-15 năm nếu muốn hack mật khẩu của bạn bằng Brute Attack.
  • Tốc độ máy bị hack còn phụ thuộc vào bộ vi xử lý máy tính, như bao lâu để crack mật khẩu của mạng hoặc đăng nhập bình thường vào một máy tính Windows độc lập.
  • Một mật khẩu mạnh mang lại rất nhiều ý nghĩa. Cách khác để hỗ trợ bạn tạo ra một mật khẩu mạnh đó là sử dụng ký tự ASCII. Ký tự ASCII tham chiếu đến tất cả các ký tự có sẵn trên bàn phím (bạn có thể xem chúng bằng cách nhấn ALT + số (từ 0 đến 255) trên Numpad). ASCII có chứa khoảng 255 ký tự, mỗi kí tự tự có một code riêng để máy tính đọc và chuyển thành nhị phân (0 hoặc 1), sao cho nó có thể được sử dụng bằng máy tính.

Các biện pháp phòng chống Brute Force

Các biện pháp phòng chống Brute Force

Ví dụ: dấu cách là 32 trong code ASCII. Khi nhập dấu cách, máy đọc 32 và chuyển thành nhị phân là 10000. Các ký tự 1, 0, 0, 0, 0, 0 được lưu trữ dưới dạng ON, OFF, OFF, OFF, OFF, OFF trong bộ nhớ của máy tính. Điều này không liên quan đến tấn công Brute Force, ngoiạ trừ trường hợp bạn sử dụng tất cả các ký tự ASCII. Nếu bạn sử dụng các ký tự đặc biệt trong mật khẩu, nghiên cứu thầy rằng thì thời gian để hack được mật khẩu chắc phải lên tới tầm 100 năm.

Nếu như Brute Force là hình thức ăn cắp mật khẩu của người dùng thì với isp nó sẽ thấy được những mảng dữ liệu vô cùng chi tiết về người dùng khi mà trang web không được mã hóa. Vậy bạn đã biết isp là gì chưa?

Có một công cụ để bạn kiểm tra độ mạnh mất khẩu, phân tích thử xem tốn bao lâu thì sẽ hack được mật khẩu đó có tên là Brute Force Password Calculator. Nó hỗ trợ kiểm tra cả các chữ thường, chữ hoa, chữ số và tất cả các ký tự ASCII. Dựa trên những kí tự mà bạn đã sử dụng trong mật khẩu, hãy chọn ra các tùy chọn và click vào Calculate – Tính toán để công cụ này phân tích ra kết quả.

Cách phòng chống tấn công Brute Force

Trong Brute Force attack thì không có một logic nào đặc biệt vì chúng thực hiện kết hợp tất cả các trường hợp kí tự khác nhau trong mật khẩu. Chínhh vì vậy mà các biện pháp phòng tránh cũng chỉ có thể dừng lại ở mức cơ bản, khá dễ dàng mà Bkhost sẽ giới thiệu tới các bạn ngay dưới đây. Ngoài việc sử dụng phần mềm bảo mật và hệ điều hành Windows luôn được cập nhật đầy đủ, bạn nên áp dụng các quy tắc để có một mật khẩu mạnh như sau:

  • Sử dụng ít nhất một chữ viết hoa.
  • Sử dụng ít nhất một sốt.
  • Sử dụng ít nhất một kí tự đặc biệt.
  • Mật khẩu phải có tối thiểu 8-10 ký tự bao gồm cả ký tự ASCII (nếu có thể).

Chú ý: Password càng dài thì càng tốn thời gian để hack, ví dụ cụ thể như mật khẩu là: 'PA$$w0rd' thì phải mất đến cả 100 năm để hack bằng Brute Force.

Nếu như bạn đang lo rằng đặt mật khẩu khó quá thì tốt cho bảo mật nhưng lại không tốt và dễ để nhớ thì hãy sử dụng thêm cả phần miềm PassBox, nó hoàn toàn miễn phí và là một công cụ nhỏ giúp ghi nhớ toàn bộ mật khẩu của bạn, cũng có thể gợi ý ra mật khẩu mạnh giúp bạn nữa, rất tiện dụng. Một số ứng dụng tạo mật khẩu mạnh miễn phí trên Google cũng khá nhiều. Sau khi tìm được mật khẩu rồi, bạn có thể tiến hành kiểm tra lại bằng Microsoft Password Checker - Trình kiểm tra mật khẩu của Microsoft. Trình kiểm tra mật khẩu này giúp đánh giá sức mạnh mật khẩu bạn đã nhập.

Công cụ ngăn chặn tấn công cho Wordpress

Công cụ ngăn chặn tấn công cho Wordpress

Trong trường hợp sử dụng website WordPress, các plugin bảo mật WordPress đã có sẵn chức năng tự động chặn các cuộc tấn công mạng Brute Force. Bạn có thể cân nhắc thêm sử dụng cả tường lửa web như Sucuri hoặc Cloudflare.

Cũng là một trong những loại mã độc xâm nhập và lấy thông tin của người dùng. Tuy nhiên wannacry lại ít được quan tâm tới. Hãy tham khảo thông tin wannacry là gì mà BKHost chia sẻ để có thể phòng tránh cho máy tính của bạn nhé.

Thêm một biện pháp khác để bạn chặn lại tấn công Brute-force là cố tình khóa các tài khoản sau một số lần nhập mật khẩu sai nhất định. Plugin Limit Logins WordPress là một công cụ rất tốt cho việc ngăn chặn. Các biện pháp khác: cho phép đăng nhập từ chỉ các địa chỉ IP được chọn; hỗ trợ thay đổi URL đăng nhập mặc định thành một thứ khác và sử dụng Captcha để tăng cường bảo mật blog WordPress của bạn.

Bkhost vừa giới thiệu tới các bạn khái niệm Brute-force là gì, và chúng thực chất có 2 tác dụng cả xấu cả tốt. Bạn hãy thực hiện tăng độ bảo mật cho web bằng cách nâng cao độ mạnh của mật khẩu mà Bkhost đã hướng dẫn chi tiết bên trên nhé. Chúc các bạn thành công và đừng quên đón đọc thêm các bài viết hữu ích khác trên blog của Bkhost.

Tôi là Trịnh Duy Thanh, hiện đang là CEO & Co - Founder Công ty Cổ Phần Giải Pháp Mạng Trực Tuyến Việt Nam - BKHOST. Với sứ mệnh mang tới dịch vụ trên Internet tốt nhất cho các cá nhân và doanh nghiệp trong nước và quốc tế, tôi luôn nỗ lực hết mình chủ động đầu tư vào phần cứng và nâng cao chất lượng dịch vụ chăm sóc khách hàng để đem đến những sản phẩm hoàn hảo nhất cho người tiêu dùng. Vì vậy, tôi tin tưởng sẽ đem đến các giải pháp CNTT mới nhất, tối ưu nhất, hiệu quả nhất và chi phí hợp lý nhất cho tất cả các doanh nghiệp với mọi quy mô.