Berta Sándor

Captchával a Brute Force kódtörés ellen

Kutatók egy olyan védelmi mechanizmust dolgoztak ki, amivel a webes szolgáltatások bejelentkező oldalai vagy más alkalmazások hatékonyan megvédhetők a Brute Force akciókkal szemben.

Manapság az egyik legnagyobb biztonsági problémát maguk a felhasználók jelentik, mivel többségük rendkívül egyszerű vagy könnyen megfejthető jelszavakat használ. Ezzel gyakorlatilag tálcán kínálják hozzáféréseiket a bűnözők számára, hiszen egyszerű találgatással is jó eredményt lehet elérni. Ezért napjainkban az egyik legnagyobb veszélyt az úgynevezett Brute Force támadások jelentik, aminél ezeket a próbálgatásokat egy gyors gépre bízzák. A siker általában függ attól, hogy a támadó számára milyen informatikai háttér és mennyi idő áll rendelkezésre. A megfejtési idő függ a lehetséges kulcsok számától, azaz kulcs méretétől (hosszától) és bonyolultságától (választható karakterek száma).

A kaliforniai Axioma Research és a drezdai Max Planck Intézet munkatársai által kidolgozott védelmi mechanizmus alapját a CAPTCHA-megoldások és a jelszavak ötvözése jelenti. A szakemberek úgy vélik, hogy egy ilyen módszerrel eredményesen kivédhetők a nyers erőt használó támadások. A kidolgozott eljárás keretében a rendszer egy CAPTCHA-t generál, aminek a helyes megfejtése után az adott személynek meg kell adnia a jelszót és csak a helyes jelszó után válik láthatóvá a második, jelszót tartalmazó CAPTCHA. Utóbbit azonban a rendszer mindig véletlenszerűen hozza létre. Amennyiben a felhasználó ezt is helyesen megfejti, úgy hozzáférhet mondjuk az e-mail fiókjához vagy a profiljához. Ha a támadó nem tudta a helyes jelszót, úgy a második, jelszót tartalmazó CAPTCHA nem válik láthatóvá és nem férhet hozzá a fiókhoz vagy a szolgáltatáshoz.

A CAPTCHA kifejezés a "Completely Automated Public Turing-test to tell Computers and Humans Apart" mozaikszava, a módszert eredetileg a Carnegie Mellon Egyetemen dolgozták ki. Korábban a CAPTCHA-tesztek könnyen feltörhetőnek bizonyultak, 2008-ban a Hotmail CAPTCHA-tesztjét mindössze hat másodperc alatt feltörték. Az ilyen védelmi megoldásokat többek között az XRumer spammerprogram is képes kijátszani. Ennek ellenére a CAPTCHA-k továbbra is népszerűek, a D-Link például 2009-ben bejelentette, hogy ilyen tesztekkel szeretné védeni a routereit.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • okosan gyerekek #36
    ugyan már. vannak olyan oldalak, ahol köteleznek, hogy legalább 8 karakter legyen, számmal, nagy betűvel, ennyi a megoldás. Nem kell ez a nyűgös szär...
  • Hajoska #35
    Ezt hsz-t nem igazán értem.MD5-ben semmit sem lehet ún. "tárolni". Az egy 128 bites hash azonosítót generál bizonyos fileméret korlátig garantáltan egyedit minden file-ra. De egyébként is mindegy, hogy a szerveren miben , avagy milyen formátumban van eltárolva a jelszó, amíg neked a kliens oldalon kell begépelni, begépeltetni egy programmal, és rendszerint a plain/text formátumban érkezék meg tompa puffanással a szerverre.
  • gombost #34
    Igen, lehet, hogy a brute force-ot lehetetlenné teszi, de az is biztos, hogy a userek nagyobbik részének szintén problémát okozna. Arról már nem is beszélve, ha valakit szívatni akarsz, ennél jobb lehetőség nem is kell. Képzelj el egy helyzetet, hogy ilyen rendszer van mondjuk a Facebook-on. Utálsz valakit? Írsz egy scriptet, ami fél óránként megpróbál belépni az e-mail címével és abcd1234 jelszóval. Ha ez a rendszer elterjedne, azonnal megjelennének az ilyen scriptek.
  • MacropusRufus #33
    kb. mint a nyaktekerészeti mellfekvenc... :)
    ha nem érted ok, ha érdek akkor is ;)
  • psishock #32
    gondolom a "Captcha", amit ugye úgy ejtünk "kapcsaa", ő erre még rátett valami szlenegítő csavart és lett "csapta".
  • Hajoska #31
    Mi az a "csapta" ?
  • smv #30
    Vagy ez viszonylag ritka jelenség?
  • smv #29
    Tényleg laikus módon kérdezem: ha md5ben van tárolva a jelszó akkor az azonos hasheket más karakterkombinációkból is előállít nem? Szóval ha nem is sokban befolyásolja a 308 milliót de valamivel kéne neki.
  • MacropusRufus #28
    Szóval a userekről: a user 2db jelszót is képtelen megjegyezni! Tisztelet a kivételenek, de 10-ből 1 aki nem ilyen. A userekn túlnyomó többsége a saját nevét sem képes megjegyezni rendesen. Saját tapasztalatból tudom. Elöző heti esete: profile tíltás 3 rossz jelszó miatt. A jelszó a user neve v. a user neve + egy szám. Erre mit csinált az agyatlan: terészetesen a rosszal próbálkozott 3x mondván a jelszó tuti jó, csak a gép lehet a hülye. Hát a másik volt a jó.
    Amíg a userek átlagosan ezen a szinten állnak addíg felesleges mindefajta bonyolúlt jelszót védelmet beállítani.

    A kedvenc dalból generált jelszó: nem rossz :) de tényleg. De ezt egy user nem fogja megjegyezni. Miért? MErt az idiótának több kedvenc száma is van, és akkor most melyik szám hol is van beállítva?
    A userek soha nem fognak qurvahosszú bonyolúlt karakter sort választani. A userek 90%-nak az asztalán(!) megtalálható a jelszó, nem felirva, hanem maga a tárgy aminek a neve a jelszó. (tudom miről besézlek, mert ugye nem mindenki születik báránynak... ;)
    Szóval amíg ember lesz addíg ő lesz a leggyengébb láncszem a rendszerben.

    BruteForce: 3 próbla és tíltás végleg, keresd fel az sysopot. Ennyi. Nálunk az i i5 így működik. 3 hiba és sanyi a profile-nak. Lehet engem basztatni, hogy mi van...

    Törések: ha nagyon progira akarom vinni a dolgot, akkor olyan szitut is teremthetek, hogy a user maga fogja a jelszavát elárúlni nekem... 10-ből legalább 5 meg fogja adni gondolkodás nélkűl ha kellően határozottan adom elő, hogy én vagyok a 4-ről a sysop. (holott nem is)
    BruteForce a leghamarább kibuktatható támadási forma, ui. eléggé erősen terheli a szever oldalt.

    Csapták: jelen esetben úgy állunk, hogy a csaptákat egy soztver hamarább megfejti mint az ember... Ez biztos is. Meg az is, amit lejebb írtak már, Kína/India 5cent per évért töri a kódokat. Ennyi.

    Biometrikus azonosítok, csapta helyet... De ez sem jó, mert ha nem akarom az illető szemét kioperálni, akkor megint csak az adatbázis felöli részét kell törnöm és ott megváltoztatni az illető biometrikus adatait az enyémre. ÉS máris az én szemem lesz az övé :)) és beléptem...

    Meddő harc, golyó vs páncél effekt...

  • Hajoska #27
    Igen, és akkor felébredtél és bilibe lógott a fejed..

    Akkor most leszel szíves elosztani a 300 milliót sok tízezerrel.. és elgondolkodni azon, hogy a Hajóska féle lúzerek 6 betűs jelszavai végett , vajon megéri-e dollármilliárdokból , pénzt, időt és fáradtságot nem kímélve százezres botnet hálózatot kiépíteni, üzemeltetni, az amúgy egy laza csuklómozdulattal, és egy kapcsával az ügy végére pontot is tevő megoldások mellett..