Brute Force Attack (BFA)
Cố gắng bẻ khóa mật khẩu hoặc khóa thông qua thử nghiệm và lỗi tự động.
Tấn công vũ phu là gì?
Các cuộc tấn công bạo lực liên quan đến việc sử dụng phần mềm phức tạp để làm tràn ngập hệ thống bằng mọi mật khẩu hoặc khóa tiềm năng nhằm tìm ra giá trị chính xác. Về lý thuyết, một cuộc tấn công như vậy có thể được sử dụng để đoán bất kỳ mật khẩu hoặc khóa nào và giành quyền truy cập vào dữ liệu được mã hóa. Khoảng thời gian lý thuyết cần thiết để một cuộc tấn công vũ phu thành công được sử dụng làm thước đo chính về sức mạnh của hệ thống mã hóa.
Các nguồn lực cần thiết để thực hiện một cuộc tấn công vũ lực thành công trên một hệ thống được bảo mật tốt là rất đáng kể. Lượng thời gian cần thiết để đoán mật khẩu tăng lên theo cấp số nhân (trái ngược với theo cách tuyến tính) khi độ dài của mật khẩu tăng lên. Như vậy, kích thước bit của các khóa mật mã đã tăng dần, từ tiêu chuẩn ban đầu là 56 bit lên đến tiêu chuẩn hiện đại là 128 hoặc 256 bit.
Việc bẻ khóa một khóa 256-bit đòi hỏi mức sức mạnh tính toán rất đáng kể – đến mức các cuộc tấn công vũ phu nghiêm trọng thường chỉ có thể thực hiện được khi sử dụng siêu máy tính.
Bản thân các siêu máy tính đòi hỏi các điều kiện môi trường được kiểm soát cực kỳ chặt chẽ và có yêu cầu năng lượng rất cao. Do đó, các cuộc tấn công vũ lực tiên tiến nhất thường được cho là để bảo vệ các tác nhân nhà nước. Tuy nhiên, GPU hiện đại và phần cứng chuyên dụng được gọi là ASIC – cả hai đều được cung cấp rất rộng rãi – cũng rất phù hợp với các tác vụ bẻ khóa mật khẩu và hầu như ai cũng có thể truy cập được.
Một số hình thức mã hóa về mặt lý thuyết là không thể chống lại cuộc tấn công vũ phu. Chúng bao gồm mật mã đệm dùng một lần. Thay vì sử dụng vũ lực, quyền truy cập bất hợp pháp vào các hệ thống sử dụng loại bảo vệ này thường dựa vào việc khai thác lỗi của con người trong quá trình triển khai của hệ thống.
Brute Force Attack (BFA)
An attempt to crack a password or key through automated trial and error.
What is a brute force attack?
Brute force attacks involve the use of complex software to flood a system with every potential password or key in order to find the correct value. In theory, such an attack could be used to guess any password or key and gain access to encrypted data. The theoretical amount of time required for a brute force attack to succeed is used as a key measure of the strength of an encryption system.
The resources required to conduct a successful brute force attack on a well-secured system are considerable. The amount of time required to guess a password grows exponentially (as opposed to in a linear manner) as the length of the password grows. As such, the bit size of cryptographic keys has gradually increased, from an initial standard of 56 bits up to the modern standard of 128 or 256 bits.
Cracking a 256-bit key requires very significant levels of computational power — so much so that serious brute force attacks are generally only possible using supercomputers.
Supercomputers themselves require extremely tightly controlled environmental conditions, and have very high energy requirements. As such, the most advanced brute force attacks are generally thought to be the preserve of state actors. However, modern GPUs and dedicated hardware known as ASICs — both very widely available — are also very well suited to password-cracking tasks, and are accessible to virtually anybody.
Some forms of encryption are theoretically impervious to brute force attack. These include one-time pad cryptography. Rather than the use of brute force, illegitimate access to systems using this type of protection generally rely on exploiting human error in a system’s implementation.
