Làm sao để bảo vệ tài khoản, website, server của mình trước những cuộc tấn công Brute Force Attack để đánh cắp mật khẩu? Nếu bạn đang cần một đáp án, Tino Group sẽ trả lời cho bạn Brute Force Attack và cách phòng chống Brute Force Attack trong bài viết này nhé!
Brute Force Attack là gì?
Brute Force Attack là một loại tấn công mạng. Đây thực chất là kỹ thuật đoán thử đúng sai liên tục vào phần đăng nhập nào đó. Hacker thường sử dụng thư viện mật khẩu (A password dictionary) để tự động đăng nhập cho đến khi thành công.
Phần mềm Brute Force Attack password cracker hoạt động thế nào?
Thủ thuật rất đơn giản: Hacker sẽ sử dụng phần mềm tự động thử đăng nhập username và password phổ biến nhằm lợi dụng đăng nhập trái phép vào các tài khoản người dùng mà không sử dụng bất kỳ kỹ thuật thông minh nào.
Phương pháp này chủ yếu dựa trên toán học và chỉ cần mất ít thời gian hơn để crack mật khẩu, bằng cách sử dụng các ứng dụng brute force thay vì tìm theo cách thủ công.
Password là bí mật riêng bạn, làm sao người khác có thể biết được độ dài, tổ hợp bao nhiêu ký tự. Tính chất toán học ở đây thể hiện ở chỗ: máy tính làm rất tốt các phép toán và thực hiện chúng trong vài giây, nhanh hơn rất nhiều lần so với bộ não con người (mất nhiều thời gian hơn để tạo ra các sự kết hợp).
Hiểu đơn giản, Brute Force Attack là hình thức “hack” cổ điển nhất với hình thức thử mật khẩu đúng sai.
Internet ngày càng phát triển, chiếm vai trò quan trọng trong cuộc sống con người. Tài khoản người dùng tăng lên kéo theo nhiều lỗ hổng, nhiều tài khoản sẽ bị dò mật khẩu hơn.
Hậu quả của Brute Force Attack
Mức độ nghiêm trọng sẽ tùy thuộc vào loại thông tin bị rò rỉ.
Hậu quả trước nhất: nạn nhân của Brute Force Attack sẽ bị lộ thông tin đăng nhập và mất quyền quản trị site.
Hậu quả tiếp theo: tương tự như bị tấn công DDOS, Server/Hosting của đối tượng bị tấn công sẽ mất đi một lượng lớn tài nguyên vì bị dò thông tin đăng nhập, thậm chí có thể bị treo cả sever nếu sever đó yếu và bị Brute Force Attack với tần suất cao.
Nguyên nhân khiến Brute Force Attack tấn công bạn
Dựa vào cách thức của Brute Force Attack, chúng ta cũng có thể dễ dàng đoán ra những trường hợp dễ bị tấn công:
- Đặt username mặc định hoặc thông dụng như admin, administrator hoặc tương tự.
- Mật khẩu không đủ mạnh, quá thông dụng và phổ biến.
- Không bảo mật đường dẫn đăng nhập.
- Không thay đổi mật khẩu thường xuyên.
Cách phòng chống Brute Force Attack
Để đăng nhập vào quản trị website hoặc đăng nhập vào hòm thư email, chúng ta cần có tài khoản (username) và mật khẩu (password). Nếu đăng nhập sai thì chương trình sẽ thông báo, nhưng đăng nhập sai liên tục mà chương trình không có cơ chế ngăn chặn thì thật nguy hiểm.
Đối với các tài khoản cá nhân
Thông thường, đối với những tài khoản cá nhân cho các dịch vụ, chúng ta chỉ cần một mật khẩu mạnh kèm xác thực 2 yếu tố là hoàn toàn đủ để bảo vệ cho tài khoản của bạn rồi đấy!
Một mật khẩu mạnh cần đảm bảo đủ các đặc điểm sau:
- Có ít nhất một chữ hoa
- Có ít nhất một chữ số
- Có ít nhất một ký tự đặc biệt
- Mật khẩu phải có tối thiểu 8-10 ký tự
- Bao gồm ký tự ASCII, nếu bạn muốn
Trước đây, việc thường xuyên thay đổi là một điều các chuyên gia bảo mật khuyến khích. Tuy nhiên, ở thời điểm hiện tại bạn chỉ cần một mật khẩu mạnh và tốt nhất là đủ các yếu tố ở trên, cùng với 12 ký tự trở lên càng tốt.
Nhưng có một điều bạn cần phải quan tâm hơn: đặt để bạn nhớ mật khẩu V: lưu ra giấy hoặc bất cứ đâu để bạn nhớ nhé! Bạn đặt mật khẩu mạnh và tốt đến nỗi bạn cũng không nhớ sẽ là một vấn đề rắc rối đấy.
Đối với các website/ server
Chống tấn công Brute Force Attack cho WordPress
Có rất nhiều plugin có cơ chế chống Brute Force Attack, bạn có thể vào kho và cài đặt dễ dàng.
- Better WP Security: tính năng ẩn đường dẫn đăng nhập và hạn chế số lần đăng nhập sai.
- Login Security Solution: Bắt buộc sử dụng mật khẩu mạnh, bắt đổi mật khẩu định kỳ, hạn chế số lần đăng nhập.
- BruteProtect: Chặn các IP xấu hay các truy vấn kiểu brute force có trong dữ liệu của riêng họ.
- Limit Login Attempts: Hạn chế số lần đăng nhập sai.
- reCAPTCHA: một trong những phương án hữu hiệu chống lại những cuộc tấn công Brute Force Attack hoàn toàn miễn phí cho website của bạn do Google cung cấp.
Chống Brute Force Attack cho Server Linux
- Server Security & Firewall là một gợi ý khá lý tưởng cho bạn.
- IPTables: cũng là một phương án rất tuyệt vời cho server Linux của bạn đấy!
Kiểu tấn công brute force là kiểu tấn công được dùng cho tất cả các loại mã hóa. Hãy chắc chắn rằng website bạn đã được bảo vệ trước Brute Force Attack để hạn chế khả năng bị lấy cắp tài khoản quản trị nhé. Chúc bạn thành công và không trở thành nạn nhân của Brute Force Attack.
FAQs về Brute Force Attack và cách phòng chống
Cách đặt mật khẩu mạnh và đơn giản ra sao?
Hãy đặt cá nhân hoá theo quy tắc của bạn. Nếu bạn chưa hiểu lắm, Tino Group sẽ đưa ra ví dụ như sau:
Mtl99+tng.org
Trong đó:
- Mtl là viết tắt tên.
- 99 là số tuổi mong muốn :3
- + là dấu cộng thôi.
- tng là từ định danh viết tắt Tino Group của (cá nhân người thực hiện).
Với cách đặt mật khẩu này sẽ rất khó để những phần mềm dò mật khẩu đoán được, 13 ký tự sẽ là một con số khủng khiếp đối với các phần mềm dò và cách đặt mật khẩu này cũng làm khó những người muốn dùng thông tin cá nhân của bạn đoán mật khẩu của bạn.
Dĩ nhiên, đây là ví dụ và tôi không sử dụng mật khẩu này cho bất cứ tài khoản nào đâu nhé!
Danh sách những mật khẩu dễ đoán ở đâu?
Bạn có thể tham khảo danh sách tại Github như:
Vì sao nên đặt mật khẩu nhiều ký tự?
Điều này liên quan đến toán học và rất thú vị đấy. Chúng ta sẽ sử dụng tổ hợp và xác suất để tính nhé!
Ví dụ: bạn đặt mật khẩu 3 chữ số, chúng ta có chữ số từ 0 – 9 bao gồm 1 chữ cái. Vậy, để đoán mật khẩu sẽ cần:
3×10 + 3×10 + 3×10 hay 3^10 lần thực hiện tìm và chúng ta sẽ có đến tận 59049 kết quả khác nhau. Nếu bạn đặt mật khẩu chỉ có số và độ dài là 12 ký tự ta sẽ có tận: 61.917.364.224 kết quả.
Nếu bạn kết hợp giữa ký tự in thường hoặc in hoa và số sẽ lên đến: 26 chữ cái + 10 số; trong trường hợp bạn sử dụng kết hợp các ký tự trong bảng ASCII tiêu chuẩn lên đến 128 ký tự… Bạn nghĩ kết quả sẽ lên bao nhiêu?
Hacker sẽ nhận được gì khi thực hiện Brute Force Attack?
Tùy trường hợp, hacker sẽ nhận được rất nhiều lợi ích từ những cuộc Brute Force Attack như:
- Chiếm tài khoản.
- Đánh cắp dữ liệu cá nhân, tài liệu.
- Thu lợi quảng cáo, hoặc dữ liệu có giá trị lớn.
- Gây hỏng hệ thống.
- Làm sập website khiến người dùng bị ảnh hưởng gây hại đến danh tiếng của website bị tấn công.
- …
