Открыть сервис

Брутфорс-атака

Брутфорс-атака (от англ. brute force — «грубая сила»), или атака полным перебором, — это метод взлома или подбора пароля, ключа шифрования, логина или иного секретного значения, основанный на последовательном переборе всех возможных комбинаций символов до обнаружения верной. Относится к классу криптоаналитических атак и является наиболее универсальным, но часто наименее эффективным по времени способом преодоления защиты.

Принцип действия

Алгоритм брутфорс-атаки заключается в автоматизированной генерации и проверке кандидатов на искомое значение. Для пароля это означает последовательное перечисление всех строк заданной длины из определённого алфавита (например, строчные и прописные латинские буквы, цифры, спецсимволы). Проверка может осуществляться как локально (сравнение хеша введённого пароля с сохранённым хешем), так и удалённо (отправка запросов на сервер аутентификации).

Скорость перебора

Скорость атаки определяется двумя основными факторами:

  • Вычислительная мощность — количество попыток в секунду, которое способен генерировать атакующий (зависит от процессора, видеокарты, специализированного оборудования).
  • Сложность пространства ключей — количество всех возможных комбинаций, которое вычисляется по формуле \( N = L^k \), где \( L \) — мощность алфавита, \( k \) — длина пароля.

Например, для пароля длиной 8 символов из алфавита в 26 строчных букв пространство ключей составляет \( 26^8 \approx 2,08 \times 10^{11} \) вариантов. При скорости перебора в 10 миллиардов попыток в секунду (достижимо на современных графических процессорах) такой пароль будет подобран в среднем за 20 секунд. Добавление цифр, прописных букв и спецсимволов увеличивает алфавит до 95 символов, что даёт \( 95^8 \approx 6,6 \times 10^{15} \) комбинаций — время подбора возрастает до нескольких дней.

Виды брутфорс-атак

По способу организации

  1. Простой перебор (чистый брутфорс) — последовательный перебор всех возможных комбинаций без использования дополнительной информации. Наиболее медленный, но гарантированно находит пароль при неограниченном времени.
  2. Атака по словарю — перебор не всех комбинаций, а только заранее составленного списка наиболее вероятных паролей (словаря). Словари включают распространённые слова, имена, даты, комбинации типа «123456», «password», «qwerty». Значительно быстрее чистого перебора, но не гарантирует успеха, если пароль не входит в словарь.
  3. Гибридная атака — комбинация словаря и перебора: к словарным словам добавляются или заменяются символы (например, «password1», «Password!», «p@ssword»). Эффективна против пользователей, использующих простые пароли с небольшими модификациями.
  4. Радужные таблицы — заранее вычисленные цепочки хешей, позволяющие восстанавливать пароль по его хешу без полного перебора. Эффективны против нестойких хеш-функций, но требуют большого объёма памяти.

По цели атаки

  • Локальная атака — перебор выполняется на устройстве атакующего, где уже имеется хеш пароля (например, из украденной базы данных). Скорость ограничена только мощностью оборудования.
  • Удалённая атака — попытки входа в систему (веб-сайт, SSH, почтовый сервер) отправляются по сети. Скорость ограничена задержками сети, пропускной способностью канала и, главное, механизмами защиты сервера (блокировка после нескольких неудачных попыток, CAPTCHA, задержки).

История

Метод полного перебора известен с древности: попытки открыть механический замок путём перебора комбинаций цифр или ключей. В криптографии идея брутфорса впервые была формально описана в контексте анализа шифров. С развитием вычислительной техники в XX веке брутфорс стал практическим инструментом.

Одним из ранних исторических примеров является взлом немецкой шифровальной машины «Энигма» во время Второй мировой войны. Хотя основная работа велась криптоаналитическими методами, британские «бомбы» Тьюринга фактически выполняли частичный перебор ключей. В 1977 году, после публикации стандарта DES, было показано, что длина ключа в 56 бит уязвима для брутфорса при достаточных вычислительных ресурсах.

В 1990-х годах с распространением персональных компьютеров и сети Интернет брутфорс-атаки стали массовым явлением. Появились специализированные программы (John the Ripper, 1996; Hashcat, 2009) и сервисы для распределённого перебора. В 2010-х годах использование графических процессоров (GPU) позволило достичь скоростей в миллиарды попыток в секунду.

Методы защиты

От удалённых атак

  • Ограничение числа попыток — блокировка учётной записи или IP-адреса после N неудачных входов (например, 5 попыток).
  • CAPTCHA — тест Тьюринга для отличия человека от программы.
  • Задержки между попытками — искусственное увеличение времени ответа сервера после неверного ввода.
  • Двухфакторная аутентификация — требование второго фактора (кода из SMS, приложения-аутентификатора) после ввода пароля.
  • Сложные пароли — установка требований к минимальной длине (не менее 12–16 символов) и использованию разных классов символов.

От локальных атак

  • Стойкие хеш-функции — использование алгоритмов, специально разработанных для замедления перебора (bcrypt, scrypt, Argon2, PBKDF2). Они включают «соль» (случайное значение, добавляемое к паролю перед хешированием) и многократное итеративное хеширование.
  • Регулярная смена ключей — снижение ценности украденных хешей.

Применение

В злонамеренных целях

Брутфорс-атаки используются для:

  • взлома учётных записей пользователей (почта, социальные сети, банкинг);
  • подбора ключей шифрования к зашифрованным файлам (архивы, документы);
  • доступа к защищённым Wi-Fi-сетям (атака на WPA/WPA2);
  • восстановления паролей к криптовалютным кошелькам.

В легальных целях

  • Тестирование на проникновение — специалисты по информационной безопасности проводят брутфорс-атаки для оценки стойкости парольной политики организации.
  • Восстановление утерянных паролей — владельцы данных могут использовать брутфорс для доступа к собственным файлам, если забыли пароль.
  • Криптоанализ — проверка стойкости новых алгоритмов шифрования путём оценки времени, необходимого для полного перебора ключа.

Инструменты

Наиболее известные программные средства для проведения брутфорс-атак:

  • John the Ripper — свободная программа для подбора паролей, поддерживает множество хеш-форматов и режимов (словарный, инкрементальный).
  • Hashcat — утилита, оптимизированная для работы на GPU, поддерживает более 300 типов хешей, включая NTLM, MD5, SHA-1, bcrypt.
  • Hydra — инструмент для удалённых атак на сетевые протоколы (HTTP, FTP, SSH, Telnet, RDP).
  • Aircrack-ng — набор для взлома WEP и WPA/WPA2 ключей Wi-Fi-сетей.

Ограничения

Брутфорс-атака имеет фундаментальные ограничения:

  • Временная сложность — для достаточно длинных и сложных паролей (например, 20 символов из полного алфавита) время перебора превышает возраст Вселенной.
  • Энергетические затраты — перебор требует значительных вычислительных ресурсов и электроэнергии.
  • Юридические риски — несанкционированное проведение брутфорс-атак является уголовным преступлением в большинстве стран (в России — ст. 272 УК РФ «Неправомерный доступ к компьютерной информации»).

Интересные факты

  • В 2012 году хакерская группа Anonymous провела распределённую брутфорс-атаку на сайт ЦРУ, используя ботнет из тысяч заражённых компьютеров.
  • Самый длинный пароль, когда-либо взломанный брутфорсом в публичных соревнованиях (Defcon), имел длину 12 символов и состоял из случайных букв и цифр.
  • Алгоритм Argon2, рекомендованный для хранения паролей, был разработан в 2015 году и победил на конкурсе Password Hashing Competition.

Источники

  • Шнайер Б. «Прикладная криптография». — М.: Триумф, 2002.
  • Фергюсон Н., Шнайер Б. «Практическая криптография». — М.: Вильямс, 2005.
  • OWASP (Open Web Application Security Project). «Brute Force Attack» — документация по методам защиты.
  • NIST Special Publication 800-63B. «Digital Identity Guidelines: Authentication and Lifecycle Management». — 2017.
  • Документация к программам John the Ripper и Hashcat (официальные сайты).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →