Brute force

Från Wikipedia
Hoppa till: navigering, sök

Brute force (engelska för råstyrka) är i datorsammanhang en metod för att hitta exempelvis lösenord genom att pröva många gissningar. Metoden kallas så eftersom sannolikheten att lösa problemet (inom viss tid) står i proportion till datorkapaciteten.

Ett lösenord på 1 byte = 8 bit kräver maximalt 28 = 256 gissningar. Tiden för en dator att lösa ett så enkelt lösenord är nästan obefintlig. I praktiken, däremot, brukar lösenord vara omkring 8 byte = 64 bit. Då krävs upp till 264 ≈ 2·1019 gissningar. Även om datorn skulle kunna gissa så snabbt som 2·109 gånger per sekund, skulle det ta upp till 1·1010 sekunder ≈ 300 år att gissa rätt. Därför brukar en ordlista användas, så att datorn gör "smarta" gissningar. Om en ordlista används eller om olika regler används för att finna ett lösenord, är det dock inte längre frågan om brute force.

En bra ordlista är naturligtvis anpassad efter målet för attacken. Ordlistan innehåller ofta ord, namn, stavelser, siffror och kombinationer av dessa, samt erfarenhetsmässigt vanliga lösenord som "qwerty". Attacken kan riktas mot till exempel en krypterad lösenordsfil som finns lagrad lokalt på datorn, exempelvis innehåller vissa "passwd"-filer krypterade lösenord. Målet kan också vara en server, exempelvis en webbserver eller e-postserver.

Om målet är en främmande server, brukar även en lista med proxyservrar användas. Detta av två anledningar. För det första eftersom försök till dataintrång kan vara olagligt, varpå proxyservern kan skydda angriparens IP-nummer. För det andra brukar servrar automatiskt blockera IP-nummer som gör upprepade misslyckade inloggningsförsök.