Serangan brute-force, dalam bidang keselamatan siber, ialah kaedah percubaan dan kesilapan yang digunakan oleh penyerang untuk mendapatkan akses kepada akaun, sistem atau data yang disulitkan dengan menyemak secara sistematik semua kekunci atau kata laluan yang mungkin sehingga yang betul ditemui. Walaupun strategi yang mudah, potensi keberkesanannya tidak boleh dipandang remeh.
Sejarah Serangan Brute-Force
Konsep serangan kekerasan adalah setua konsep penyulitan itu sendiri. Bentuk penyulitan pertama yang diketahui, sifir Caesar, yang digunakan oleh Julius Caesar dalam surat-menyurat peribadinya, juga terdedah kepada serangan kekerasan, kerana terdapat hanya 25 kemungkinan kunci untuk diperiksa. Istilah "brute-force attack" itu sendiri muncul dengan kemunculan komputer moden, yang menjadikannya layak untuk mencuba sejumlah besar kekunci dalam tempoh masa yang agak singkat. Kaedah ini telah menjadi terkenal sejak itu, menjadi kebimbangan penting dalam pembangunan mana-mana sistem keselamatan atau kriptografi.
Memahami Serangan Brute-Force
Serangan kekerasan tidak mengeksploitasi sebarang kelemahan dalam algoritma penyulitan itu sendiri. Sebaliknya, ia mengambil kesempatan daripada hakikat bahawa ruang kunci (jumlah bilangan kunci yang mungkin) adalah terhad. Dengan mencuba secara sistematik semua kombinasi yang mungkin, dengan masa yang mencukupi dan kuasa pengkomputeran, secara teorinya adalah mungkin untuk serangan brute-force untuk mencari kunci yang betul.
Walau bagaimanapun, keberkesanan serangan kekerasan sebahagian besarnya bergantung pada panjang dan kerumitan kunci. Contohnya, kunci penyulitan dengan panjang satu aksara hanya mempunyai sebilangan kecil kemungkinan, menjadikan serangan brute force sebagai remeh. Sebaliknya, kunci dengan panjang 16 yang terdiri daripada gabungan huruf besar dan kecil, nombor dan aksara khas akan mempunyai bilangan astronomi kemungkinan, menjadikan serangan kekerasan secara pengiraan tidak dapat dilaksanakan dengan teknologi semasa.
Mekanik Serangan Brute-Force
Pada asasnya, serangan kekerasan melibatkan langkah-langkah berikut:
- Pilih kunci yang mungkin daripada ruang kekunci.
- Cuba untuk menyahsulit atau mengakses sasaran menggunakan kunci ini.
- Jika percubaan tidak berjaya, ulangi proses dengan kunci baharu.
- Jika percubaan berjaya, serangan selesai.
Dalam kes cubaan untuk memecahkan kata laluan, setiap "kunci" akan menjadi kata laluan yang mungkin. Serangan kekerasan moden sering menggunakan kamus kata laluan biasa, diikuti dengan penjanaan sistematik semua kata laluan yang mungkin jika serangan kamus gagal.
Ciri-ciri Utama Serangan Brute-Force
- Kesederhanaan: Kaedah ini tidak memerlukan pemahaman tentang algoritma penyulitan asas atau kelemahan sistem.
- Kesejagatan: Serangan brute-force secara teorinya boleh digunakan pada mana-mana sistem yang bergantung pada kunci rahsia atau kata laluan.
- Masa dan Intensiti Sumber: Serangan brute-force boleh memerlukan sumber dan masa pengiraan yang ketara.
- Kebolehramalan: Jika panjang dan kerumitan kunci diketahui, adalah mungkin untuk menganggarkan masa maksimum yang diperlukan untuk memaksanya secara kasar.
Jenis Serangan Brute-Force
| taip | Penerangan |
|---|---|
| Brute-Force Mudah | Secara sistematik mencuba semua kombinasi yang mungkin. |
| Kamus Serangan | Menggunakan senarai kata laluan biasa atau mungkin. |
| Serangan Meja Pelangi | Menggunakan jadual prakiraan untuk membalikkan fungsi cincang kriptografi. |
| Serangan Hibrid | Menggabungkan serangan kamus dengan pemeriksaan sistematik. |
Aplikasi, Masalah dan Penyelesaian
Serangan kekerasan boleh digunakan oleh penjenayah siber untuk mendapatkan akses tanpa kebenaran kepada sistem dan data. Walau bagaimanapun, terdapat beberapa langkah yang boleh dilaksanakan untuk melindungi daripada serangan tersebut:
- Meningkatkan Kerumitan Kekunci: Menggunakan kekunci yang lebih panjang dan lebih kompleks menjadikan pemaksaan kasar secara eksponen lebih sukar.
- Kuncian Akaun: Selepas beberapa percubaan gagal, akaun dikunci.
- Kelewatan Masa: Melaksanakan kelewatan selepas beberapa percubaan yang gagal akan memperlahankan serangan.
- Pengesahan Berbilang Faktor: Memerlukan bukti identiti tambahan di luar kata laluan.
Perbandingan dan Ciri
| Kaedah | Kerentanan kepada Brute-Force |
|---|---|
| Pengesahan Kata Laluan | tinggi |
| Pengesahan Biometrik | rendah |
| Pengesahan Berbilang Faktor | rendah |
| CAPTCHA | rendah |
Perspektif Masa Depan
Pembangunan pengkomputeran kuantum membentangkan kedua-dua potensi ancaman dan penyelesaian untuk serangan kekerasan. Di satu pihak, komputer kuantum boleh mempercepatkan serangan kekerasan dengan ketara. Sebaliknya, mereka juga membolehkan kaedah penyulitan kuantum yang boleh mengesan dan mengatasi sebarang percubaan untuk memecahkannya.
Pelayan Proksi dan Serangan Brute-Force
Pelayan proksi boleh menjadi pedang bermata dua apabila ia datang kepada serangan kekerasan. Walaupun mereka boleh melindungi pengguna dengan menyembunyikan alamat IP mereka, menjadikannya lebih sukar bagi penyerang untuk menyasarkan mereka secara langsung, mereka juga boleh disalahgunakan oleh penyerang untuk menutup identiti dan lokasi mereka. Jika penyerang menggunakan rangkaian pelayan proksi, mereka boleh mengedarkan serangan mereka, menjadikannya lebih sukar untuk dikesan dan disekat.
