Rivalry2

HTML Diff

0 added 11 removed

Original 2026-01-01

Modified 2026-02-21

1 - <a>#статьи</a>

2 - <ul><li>15 май 2023</li>

3 - <li>0</li>

4 - </ul><h2>Что такое брутфорс и как от него защититься</h2>

5 - Рассказываем об аналоге лома в кибербезопасности и приёмах защиты от него, которые всё-таки есть.

6 - Кадр: фильм "Форсаж: Хоббс и Шоу" / Universal Pictures

7 - Журналист, изучает Python. Любит разбираться в мелочах, общаться с людьми и понимать их.

8 Вы наверняка замечали, что некоторые сайты во время регистрации просят сделать пароль посложнее: то чисел насыпать, то букв, то ещё каких-нибудь символов. Зачем это нужно? Ведь и так никто никогда не узнает, что вы там зашифровали кличку собаки троюродной тёти первой школьной любви.

1 Вы наверняка замечали, что некоторые сайты во время регистрации просят сделать пароль посложнее: то чисел насыпать, то букв, то ещё каких-нибудь символов. Зачем это нужно? Ведь и так никто никогда не узнает, что вы там зашифровали кличку собаки троюродной тёти первой школьной любви.

9 Ответ: человеку, возможно, угадать ваш пароль не удастся - но машина простым перебором может сделать это за пару часов. Такой способ кражи паролей в кибербезе называется брутфорсом - о нём-то мы и поговорим сегодня.

2 Ответ: человеку, возможно, угадать ваш пароль не удастся - но машина простым перебором может сделать это за пару часов. Такой способ кражи паролей в кибербезе называется брутфорсом - о нём-то мы и поговорим сегодня.

10 Брутфорс (brute-force), или атака полным перебором, - это метод<a>взлома</a>, при котором хакер подбирает разные варианты логинов, паролей и <a>ключей шифрования</a>. Цель - войти в систему или получить доступ к защищённым данным.

3 Брутфорс (brute-force), или атака полным перебором, - это метод<a>взлома</a>, при котором хакер подбирает разные варианты логинов, паролей и <a>ключей шифрования</a>. Цель - войти в систему или получить доступ к защищённым данным.

11 Но брутфорс - это отнюдь не всегда плохо. Такие атаки проводят специалисты по кибербезопасности и "белые" хакеры, чтобы испытать программу на прочность и найти уязвимости. Это своего рода испытание огнём для любой системы защиты: чтобы считаться надёжной, она должна выдерживать атаки полным перебором.

4 Но брутфорс - это отнюдь не всегда плохо. Такие атаки проводят специалисты по кибербезопасности и "белые" хакеры, чтобы испытать программу на прочность и найти уязвимости. Это своего рода испытание огнём для любой системы защиты: чтобы считаться надёжной, она должна выдерживать атаки полным перебором.

12 А ещё с помощью брутфорса удалось разгадать шифр машины "Энигма", которую немецкая армия использовала для передачи секретных сообщений. О том, как это сделали и как в этом помог Алан Тьюринг, читайте<a>в нашей статье</a>. Ну а мы едем дальше.

5 А ещё с помощью брутфорса удалось разгадать шифр машины "Энигма", которую немецкая армия использовала для передачи секретных сообщений. О том, как это сделали и как в этом помог Алан Тьюринг, читайте<a>в нашей статье</a>. Ну а мы едем дальше.

13 Brute-force переводится с английского как "грубая сила". Смысл этой атаки в том, чтобы перебрать все возможные варианты, пока один из них не окажется верным. Хакеры не пытаются найти тонкий подход к жертве, как, например, при фишинге, - только перебор, только хардкор.

6 Brute-force переводится с английского как "грубая сила". Смысл этой атаки в том, чтобы перебрать все возможные варианты, пока один из них не окажется верным. Хакеры не пытаются найти тонкий подход к жертве, как, например, при фишинге, - только перебор, только хардкор.

14 Фото: Max4e Photo / ShutterstockЕстественно, всё это делается не вручную, а с помощью специальных хакерских программ. Причём многие из них вполне легальны, потому что ими пользуются специалисты по информационной безопасности. Запущенные на хорошем "железе", такие программы способны подбирать миллиарды комбинаций в секунду - то есть у паролей вроде "kotbarsik" и "123456" просто нет шансов не быть раскрытыми.

7 Фото: Max4e Photo / ShutterstockЕстественно, всё это делается не вручную, а с помощью специальных хакерских программ. Причём многие из них вполне легальны, потому что ими пользуются специалисты по информационной безопасности. Запущенные на хорошем "железе", такие программы способны подбирать миллиарды комбинаций в секунду - то есть у паролей вроде "kotbarsik" и "123456" просто нет шансов не быть раскрытыми.

15 Чтобы ускорить атаку, хакеры могут подключать дополнительные вычислительные мощности: арендуют<a>облачные серверы</a>и используют ботнеты.

8 Чтобы ускорить атаку, хакеры могут подключать дополнительные вычислительные мощности: арендуют<a>облачные серверы</a>и используют ботнеты.

16 Не все брутфорс-атаки одинаковые. В одних хакеры перебирают случайные символы, в других - наиболее частые пароли, в третьих - комбинируют эти два способа. Вот как работают разные виды брутфорса.

9 Не все брутфорс-атаки одинаковые. В одних хакеры перебирают случайные символы, в других - наиболее частые пароли, в третьих - комбинируют эти два способа. Вот как работают разные виды брутфорса.

17 Классический метод брутфорса: хакер пробует все возможные комбинации символов, пока не попадётся подходящая.

10 Классический метод брутфорса: хакер пробует все возможные комбинации символов, пока не попадётся подходящая.

18 Как защититься:используйте длинные пароли (от восьми символов) с буквами в верхнем и нижнем регистре, цифры и спецсимволы.

11 Как защититься:используйте длинные пароли (от восьми символов) с буквами в верхнем и нижнем регистре, цифры и спецсимволы.

19 Идея та же, что и в предыдущем методе, только вместо случайных символов подставляются реально существующие фразы из словаря. Это могут быть имена, города, предметы, цитаты из Библии, строки из Шекспира - что угодно. И, конечно, таким способом украсть пароль гораздо проще.

12 Идея та же, что и в предыдущем методе, только вместо случайных символов подставляются реально существующие фразы из словаря. Это могут быть имена, города, предметы, цитаты из Библии, строки из Шекспира - что угодно. И, конечно, таким способом украсть пароль гораздо проще.

20 Смотрите, у пароля из восьми случайных латинских символов в нижнем регистре есть 268 возможных комбинаций - это больше 200 триллионов вариантов. Если пробовать по одному в секунду, то для перебора всех комбинаций понадобится 6600 лет.

13 Смотрите, у пароля из восьми случайных латинских символов в нижнем регистре есть 268 возможных комбинаций - это больше 200 триллионов вариантов. Если пробовать по одному в секунду, то для перебора всех комбинаций понадобится 6600 лет.

21 А, например, в Оксфордском словаре - всего 171 тысяча слов, и перебрать их можно гораздо быстрее. При одной попытке в секунду - чуть меньше чем за два дня.

14 А, например, в Оксфордском словаре - всего 171 тысяча слов, и перебрать их можно гораздо быстрее. При одной попытке в секунду - чуть меньше чем за два дня.

22 В современных словарях для взлома хранятся самые распространённые пароли, а также те, которые утекли в Сеть и попали в базы данных злоумышленников.

15 В современных словарях для взлома хранятся самые распространённые пароли, а также те, которые утекли в Сеть и попали в базы данных злоумышленников.

23 Как защититься:не используйте реально существующие слова и словосочетания - или хотя бы разбавляйте их выдуманными. Почитать о том, как не надо составлять пароли, чтобы их не украли, можно<a>в этой статье на "Хабре"</a>.

16 Как защититься:не используйте реально существующие слова и словосочетания - или хотя бы разбавляйте их выдуманными. Почитать о том, как не надо составлять пароли, чтобы их не украли, можно<a>в этой статье на "Хабре"</a>.

24 Некоторые пользователи, которые что-то слышали о брутфорсе, добавляют к обычным словам несколько символов - например, важную для них дату, возраст или что-то ещё. Мол, теперь-то уж точно хакерская рука окаянная до меня не достанет.

17 Некоторые пользователи, которые что-то слышали о брутфорсе, добавляют к обычным словам несколько символов - например, важную для них дату, возраст или что-то ещё. Мол, теперь-то уж точно хакерская рука окаянная до меня не достанет.

25 Но такие пароли тоже довольно просто раскрыть - с помощью гибридной атаки. Это когда к реальному слову из словаря добавляют несколько случайных символов, которые получают, опять же, методом перебора.

18 Но такие пароли тоже довольно просто раскрыть - с помощью гибридной атаки. Это когда к реальному слову из словаря добавляют несколько случайных символов, которые получают, опять же, методом перебора.

26 Как защититься:используйте более сложные комбинации, чем пара "слово + число". Например, добавляйте цифры в середине слова, разбавляйте всё это разными звёздочками и слешами, и будет вам счастье :)

19 Как защититься:используйте более сложные комбинации, чем пара "слово + число". Например, добавляйте цифры в середине слова, разбавляйте всё это разными звёздочками и слешами, и будет вам счастье :)

27 Метод для тех хакеров, которым не принципиально, кого именно взламывать.

20 Метод для тех хакеров, которым не принципиально, кого именно взламывать.

28 Если в классическом брутфорсе для одного логина перебирают множество паролей, то при обратных атаках один пароль применяют сразу к большому количеству логинов.

21 Если в классическом брутфорсе для одного логина перебирают множество паролей, то при обратных атаках один пароль применяют сразу к большому количеству логинов.

29 Как защититься:не используйте<a>простые или популярные пароли</a>, ведь именно их хакеры обычно подставляют во время обратных атак.

22 Как защититься:не используйте<a>простые или популярные пароли</a>, ведь именно их хакеры обычно подставляют во время обратных атак.

30 При персональном взломе подключается социальная инженерия. Хакер составляет отдельный словарь для каждой жертвы, куда могут входить имена родственников, друзей, питомцев, важные даты, профессия, хобби и так далее. Для этого хакер может брать информацию из соцсетей или даже сблизиться с жертвой через общих знакомых.

23 При персональном взломе подключается социальная инженерия. Хакер составляет отдельный словарь для каждой жертвы, куда могут входить имена родственников, друзей, питомцев, важные даты, профессия, хобби и так далее. Для этого хакер может брать информацию из соцсетей или даже сблизиться с жертвой через общих знакомых.

31 Как защититься:не оставляйте пароли "на видном" месте и не используйте в них личную информацию. И вообще, цифровая гигиена - наше всё. Чем меньше о нас знают соцсети и разные сервисы, тем лучше.

24 Как защититься:не оставляйте пароли "на видном" месте и не используйте в них личную информацию. И вообще, цифровая гигиена - наше всё. Чем меньше о нас знают соцсети и разные сервисы, тем лучше.

32 Этот метод используют, если узнают логин и пароль пользователя от какого-нибудь приложения или сайта. Хакер подставляет скомпрометированные учётные данные в разных сервисах. Если жертва использовала их ещё в каком-то месте, то злоумышленник попадает в её аккаунт.

25 Этот метод используют, если узнают логин и пароль пользователя от какого-нибудь приложения или сайта. Хакер подставляет скомпрометированные учётные данные в разных сервисах. Если жертва использовала их ещё в каком-то месте, то злоумышленник попадает в её аккаунт.

33 Как защититься:посмотрите, нет ли вашей почты или пароля в списках утечек, - сделать это можно<a>здесь</a>и <a>здесь</a>. Если пользуетесь Google Chrome, посмотреть раскрытые данные можно в <a>менеджере паролей</a>.

26 Как защититься:посмотрите, нет ли вашей почты или пароля в списках утечек, - сделать это можно<a>здесь</a>и <a>здесь</a>. Если пользуетесь Google Chrome, посмотреть раскрытые данные можно в <a>менеджере паролей</a>.

34 Его применяют, если злоумышленник уже получил доступ к электронной почте жертвы. Многие сервисы сами генерируют пароли и высылают на почту пользователям. Хакеры находят такие письма, извлекают из них учётные данные и используют для взлома.

27 Его применяют, если злоумышленник уже получил доступ к электронной почте жертвы. Многие сервисы сами генерируют пароли и высылают на почту пользователям. Хакеры находят такие письма, извлекают из них учётные данные и используют для взлома.

35 Как защититься:самостоятельно устанавливайте пароли от всех важных аккаунтов. А ещё - регулярно обновляйте пароль от электронной почты, куда ж без этого.

28 Как защититься:самостоятельно устанавливайте пароли от всех важных аккаунтов. А ещё - регулярно обновляйте пароль от электронной почты, куда ж без этого.

36 Этот метод применяют хакеры после того, как получают доступ к базе данных паролей - они обычно хранятся в захешированном виде.

29 Этот метод применяют хакеры после того, как получают доступ к базе данных паролей - они обычно хранятся в захешированном виде.

37 <a>Хеш-функция</a> - это алгоритм, который необратимо шифрует данные. Он получает на вход сообщение и выводит егохеш- строку фиксированной длины. Строка состоит из набора букв и цифр, который чётко соответствует входному сообщению:

30 <a>Хеш-функция</a> - это алгоритм, который необратимо шифрует данные. Он получает на вход сообщение и выводит егохеш- строку фиксированной длины. Строка состоит из набора букв и цифр, который чётко соответствует входному сообщению:

38 <ul><li>Если два раза захешировать одно и то же сообщение, хеш получится одинаковый.</li>

31 <ul><li>Если два раза захешировать одно и то же сообщение, хеш получится одинаковый.</li>

39 <li>Если изменить в сообщении хотя бы одну букву, то хеш получится совершенно другой.</li>

32 <li>Если изменить в сообщении хотя бы одну букву, то хеш получится совершенно другой.</li>

40 </ul>Получив доступ к базе хешей и зная алгоритм хеширования, злоумышленник может по очереди хешировать разные варианты паролей - перебором, по словарю или гибридно. Затем он ищет совпадающие хеши и смотрит, из каких входных данных получил их - это и есть найденные пароли.

33 </ul>Получив доступ к базе хешей и зная алгоритм хеширования, злоумышленник может по очереди хешировать разные варианты паролей - перебором, по словарю или гибридно. Затем он ищет совпадающие хеши и смотрит, из каких входных данных получил их - это и есть найденные пароли.

41 Чтобы из раза в раз не хешировать заново одно и то же, хакеры создаютрадужные таблицы - специальные словари, которые содержат не сами пароли, а их хеши.

34 Чтобы из раза в раз не хешировать заново одно и то же, хакеры создаютрадужные таблицы - специальные словари, которые содержат не сами пароли, а их хеши.

42 Как защититься:если вы пользователь - практически никак. Хешированные базы паролей утекают в Сеть регулярно, и это уже наша реальность. Например, недавно это коснулось<a>клиентов "Сбера"</a>.

35 Как защититься:если вы пользователь - практически никак. Хешированные базы паролей утекают в Сеть регулярно, и это уже наша реальность. Например, недавно это коснулось<a>клиентов "Сбера"</a>.

43 Но для владельцев сервисов есть выход: например, использоватьсоли - дополнительные строки данных, которые хешируются вместе с паролем. А ещё - использовать современные протоколы шифрования.

36 Но для владельцев сервисов есть выход: например, использоватьсоли - дополнительные строки данных, которые хешируются вместе с паролем. А ещё - использовать современные протоколы шифрования.

44 Скорость перебора комбинаций брутфорсом - запредельная. В 2018 году компьютер с графическим процессором RTX 2080 за одну секунду перебрал 37 миллиардов паролей, захешированных<a>алгоритмом MD5</a>. А более современные RTX 3090 и RTX 4090<a>позволяют перебирать</a>и того больше: 70 и 164 миллиарда комбинаций соответственно.

37 Скорость перебора комбинаций брутфорсом - запредельная. В 2018 году компьютер с графическим процессором RTX 2080 за одну секунду перебрал 37 миллиардов паролей, захешированных<a>алгоритмом MD5</a>. А более современные RTX 3090 и RTX 4090<a>позволяют перебирать</a>и того больше: 70 и 164 миллиарда комбинаций соответственно.

45 Лучший способ защититься от брутфорса - использовать надёжные пароли. Компания по кибербезопасности Hive Systems ежегодно составляет таблицу времени, нужного на взлом паролей разной сложности.

38 Лучший способ защититься от брутфорса - использовать надёжные пароли. Компания по кибербезопасности Hive Systems ежегодно составляет таблицу времени, нужного на взлом паролей разной сложности.

46 Таблица сложности паролей. Построена для паролей, которые захешированы алгоритмом MD5 и взламываются с помощью 12 графических процессоров RTX 4090Изображение:<a>Hive Systems</a>Предполагается, что указанные в таблице данные актуальны, если взлом осуществляют методом перебора символов. Атака по словарю будет происходить значительно быстрее, но она не сработает, если пароля в словаре нет.

39 Таблица сложности паролей. Построена для паролей, которые захешированы алгоритмом MD5 и взламываются с помощью 12 графических процессоров RTX 4090Изображение:<a>Hive Systems</a>Предполагается, что указанные в таблице данные актуальны, если взлом осуществляют методом перебора символов. Атака по словарю будет происходить значительно быстрее, но она не сработает, если пароля в словаре нет.

47 Помимо сложных паролей защитить себя от брутфорса можно следующими способами:

40 Помимо сложных паролей защитить себя от брутфорса можно следующими способами:

48 <ul><li>Использовать разные пароли для разных сервисов.Единожды взломанный пароль перестаёт быть безопасным, каким бы сложным он ни был. Чтобы не забывать, можно использовать менеджер паролей в браузере.</li>

41 <ul><li>Использовать разные пароли для разных сервисов.Единожды взломанный пароль перестаёт быть безопасным, каким бы сложным он ни был. Чтобы не забывать, можно использовать менеджер паролей в браузере.</li>

49 <li>Регулярно менять пароли.Вы не можете знать, в какой момент ваш пароль мог быть скомпрометирован.</li>

42 <li>Регулярно менять пароли.Вы не можете знать, в какой момент ваш пароль мог быть скомпрометирован.</li>

50 <li>Использовать двухфакторную аутентификацию.Тогда для входа в аккаунт одного пароля будет недостаточно - понадобится дополнительное подтверждение личности, например, с помощью SMS или биометрии.</li>

43 <li>Использовать двухфакторную аутентификацию.Тогда для входа в аккаунт одного пароля будет недостаточно - понадобится дополнительное подтверждение личности, например, с помощью SMS или биометрии.</li>

51 </ul>Владельцы сервисов заинтересованы в безопасности пользователей, да и своих аккаунтов с правами администраторов тоже. Вот какие меры защиты от брутфорс-атак они внедряют:

44 </ul>Владельцы сервисов заинтересованы в безопасности пользователей, да и своих аккаунтов с правами администраторов тоже. Вот какие меры защиты от брутфорс-атак они внедряют:

52 <ul><li>Настраивают требования к сложности паролей.Например, чтобы он обязательно содержал числа, буквы в разных регистрах и спецсимволы - и был не слишком коротким.</li>

45 <ul><li>Настраивают требования к сложности паролей.Например, чтобы он обязательно содержал числа, буквы в разных регистрах и спецсимволы - и был не слишком коротким.</li>

53 <li>Устанавливают задержку во временипри попытке входа в систему. Например, нельзя пытаться войти в аккаунт чаще одного раза в секунду. Человек такое ограничение даже не заметит, а вот брутфорсить будет гораздо труднее.</li>

46 <li>Устанавливают задержку во временипри попытке входа в систему. Например, нельзя пытаться войти в аккаунт чаще одного раза в секунду. Человек такое ограничение даже не заметит, а вот брутфорсить будет гораздо труднее.</li>

54 <li>Ограничивают число попытоквхода в систему с одного<a>IP-адреса</a>. Если ограничение превышено, пользователя могут попросить пройти капчу или вовсе блокируют дальнейшие попытки войти.</li>

47 <li>Ограничивают число попытоквхода в систему с одного<a>IP-адреса</a>. Если ограничение превышено, пользователя могут попросить пройти капчу или вовсе блокируют дальнейшие попытки войти.</li>

55 <li>Используют сольв хешах своих паролей. Даже если базу данных украдут, взломать "посоленные" хеши будет гораздо труднее.</li>

48 <li>Используют сольв хешах своих паролей. Даже если базу данных украдут, взломать "посоленные" хеши будет гораздо труднее.</li>

56 <li>Добавляютдвухфакторную аутентификацию.</li>

49 <li>Добавляютдвухфакторную аутентификацию.</li>

57 </ul>Брутфорс-атака - это вид кибератаки, при которой хакер перебирает разные комбинации данных, пока не найдёт нужную. Таким образом взламывают учётные записи и криптографические протоколы.

50 </ul>Брутфорс-атака - это вид кибератаки, при которой хакер перебирает разные комбинации данных, пока не найдёт нужную. Таким образом взламывают учётные записи и криптографические протоколы.

58 С помощью специальных программ хакеры могут перебирать миллиарды комбинаций в секунду, поэтому для защиты от брутфорса нужно выставлять сильные пароли, не использовать их несколько раз и регулярно менять.

51 С помощью специальных программ хакеры могут перебирать миллиарды комбинаций в секунду, поэтому для защиты от брутфорса нужно выставлять сильные пароли, не использовать их несколько раз и регулярно менять.

59 - Кибербезопасность с нуля: взламываем и защищаем серверы за 5 дней

60 - Погрузитесь в востребованную профессию специалиста по кибербезопасности. Научитесь защищать веб-серверы, перехватывать пароли, подделывать письма и обезвреживать вредоносное ПО.

61 - <a>Пройти бесплатно</a>

62 - <a>Бесплатный курс по кибербезопасностиПройдите курс и узнайте реальные техники взлома и защиты веб-серверов. Решите 3 практические задачи и получите ценные подарки. Пройти курс →</a>