haithanh1510194
Búa Gỗ Đôi
Brute-force LÀ GÌ? CÁCH PHÒNG CHỐNG BRUTE FORCE CHO WEBSITE
Có rất nhiều phương pháp được tin tặc sử dụng để truy cập vào máy tính, mạng máy tính, trang web hoặc dịch vụ trực tuyến. Thực hiện một cuộc tấn công Brute Force là một trong số các phương pháp đó. Nó là một trong những phương pháp đơn giản nhất, nhưng tốn thời gian để hack một máy chủ hoặc một máy tính bình thường. Cơ chế tấn công Brute force có những ưu điểm của nó. Nó cũng có thể được sử dụng để kiểm tra an ninh mạng và khôi phục mật khẩu đã quên.
BRUTE-FORCE LÀ GÌ?
Brute-force là một dạng tấn công bảo mật website bằng cách thử lần lượt các thông tin đăng nhập (tên đăng nhập, mật khẩu) khác nhau - Hacker thường sử dụng thư viện mật khẩu ( password dictionary ) để tự động đăng nhập cho đến khi thành công. Nó rất đơn giản và không sử dụng bất kỳ kỹ thuật thông minh nào. Vì phương pháp này chủ yếu dựa trên toán học ,phải mất ít thời gian hơn để Cr@ck mật khẩu, bằng cách sử dụng các ứng dụng brute force thay vì tìm ra chúng theo cách thủ công.
Tấn công Brute Force là tốt hay xấu tùy thuộc vào người sử dụng nó. Nó có thể được bọn tội phạm mạng cố gắng sử dụng để hack vào một máy chủ mạng, hoặc nó có thể được một quản trị viên mạng dùng để xem mạng của mình được bảo mật có tốt không. Một số người dùng máy tính cũng sử dụng các ứng dụng brute force để khôi phục mật khẩu đã quên
Khi tấn công brute-force, hacker sẽ sử dụng các thông tin đăng nhập thông dụng nhất (như tên đăng nhập là admin hoặc mật khẩu là 12345) để truy cập hệ thống. Nếu không thành công, hắn sẽ dùng cách suy đoán tên đăng nhập và người dùng dựa trên các gợi ý nào đó.
Nghe có vẻ khá mông lung nhưng trên thực tế brute-force lại có hiệu quả cao không ngờ. Lý do cụ thể sẽ được để cập ở phần sau, tuy nhiên trên lý thuyết không gì có thể ngăn chặn được brute-force. Nếu không bị giới hạn bởi thời gian và tài nguyên máy tính, một cuộc tấn công brute-force luôn luôn thành công.
Chúng ta chỉ có thể làm chậm quá trình brute-force, khiến hacker thấy nản hoặc không còn lợi ích khi bỏ ra thời gian quá lâu cho một trang web và từ bỏ.
Để làm được điều đó, trước hết ta phải biết cái gì đã mở đường cho một cuộc tấn công brute-force vào website của mình.
CÁCH PHÒNG CHỐNG BRUTE-FORCE CHO WEBSITE: KHÔNG CÓ AN TOÀN TUYỆT ĐỐI
Như đã nói ở phần đầu, không có cách bảo vệ website hoàn toàn khỏi brute-force. Tuy nhiên, chúng ta có thể làm chậm quá trình brute-force đi một cách đáng kể, khiến hacker cảm thấy chán nản hoặc không còn lợi ích khi gắng sức tấn công website. Sau đây là những phương pháp khả dụng để ngăn chặn brute-force cũng như tăng cường khả năng bảo mật tổng thể cho website.
1. TĂNG ĐỘ BẢO MẬT CỦA MẬT KHẨU
Tất nhiên còn một lưu ý quan trọng nữa là bạn phải thường xuyên thay mật khẩu mới. Dùng mãi một mật khẩu sẽ gia tăng tỷ lệ bị giải mãi bởi các hệ thống máy tính của hacker, dẫn đến các cuộc tấn công bảo mật.
2. TĂNG CƯỜNG BẢO MẬT TỪ TÊN ĐĂNG NHẬP
Đừng sử dụng những cụm từ quá thông dụng và dễ đoán cho tên đăng nhập website. Tất nhiên tên đăng nhập không cần phức tạp như mật khẩu, nhưng chí ít cũng không phải là cụm một đến hai chữ thông thường, như: admin, lan, ngoc, tramanh, v.v…
Riêng đối với WordPress và cũng là đối với số đông các website hiện nay, tên đăng nhập có phức tạp mấy cũng sẽ bị lộ bởi tính năng Author Archive. Chỉ vài thao tác tra cứu trên thanh địa chỉ hacker đã có thể tìm ra tên đăng nhập của bất cứ tác giả nào trong website.
Để hạn chế điều này mà không cần phải tắt Author Archive, hãy đặt nickname trong mục Hồ sơ của từng tác giả, thành viên BQT website. Nickname sẽ xuất hiện trong URL của từng tác giả theo cấu trúc: http://tên-miền-website/author/nickname và bạn sẽ giấu được tên đăng nhập đi để ít bị brute-force hơn.
Tuy nhiên, vì không được mã hóa, tên đăng nhập cũng không có tác dụng bảo mật cao như mật khẩu. Thay đổi tên đăng nhập cũng là chưa đủ để bảo vệ website của bạn khỏi các cuộc tấn công brute-force.
3. ẨN ĐƯỜNG DẪN ĐĂNG NHẬP
Các website xây dựng từ các CMS hầu hết đều có các thiết lập giống nhau về đường dẫn đăng nhập, đăng xuất. Một số CMS như WordPress cho phép bạn thay đổi các đường dẫn này để tránh bị hacker khai thác, tấn công brute-force. Theo cách này, bạn thực ra đang tạo những URL mới có tác dụng chuyển hướng về đường dẫn đăng nhập, đăng xuất thực để che giấu chúng đi.
4. HẠN CHẾ SỐ LẦN ĐĂNG NHẬP SAI
Trong quá trình tấn công brute-force một website, các hacker phải thử đăng nhập rất nhiều lần. Để gián đoạn quá trình này, bạn có thể giới hạn số lần đăng nhập sai từ một địa chỉ IP. Bạn có thể thiết lập chặn 5 phút hoặc 10 phút sau 4-5 lần đăng nhập sai. Bấy nhiêu thời gian cũng là đủ để khiến tên hacker thấy chán nản và bỏ cuộc.
5. SỬ DỤNG CAPTCHA
Các hacker thường sử dụng các chương trình tự động (bot) để thực hiện tìm và thử các thông tin đăng nhập. Chúng có thể thực hiện hàng trăm lượt thử đăng nhập trong vòng 1 phút, hoàn toàn tự động và tiết kiệm công sức cho hacker.
Chương trình bot không thể nhập captcha, còn hacker sẽ mau nản chí khi gặp loại bảo mật này
Tuy nhiên những con bot này lại không thể nhập captcha chính xác được. Điều này bắt buộc hacker phải tự tay xác nhận captcha, sẽ dễ khiến hắn mệt mỏi và chán nản, bỏ cuộc. Vì vậy, captcha là một trong những phương pháp brute-force hiệu quả nhất.
Nhưng dù có thể chống brute-force rất tốt, thực tế là không nhiều website hiện đại sử dụng captcha. Lý do là bởi captcha còn gây ra sự bất tiện lên chính người dùng. Không ai muốn quá trình đăng nhập bị gián đoạn cả. Với lại, có rất nhiều người không thể đọc được captcha, không thể xác nhận đúng được.
Vì vậy, để vừa chống brute-force hiệu quả vừa không ảnh hưởng đến trải nghiệm người dùng, bạn có thể chỉ yêu cầu captcha sau 2-3 lần đăng nhập thất bại.
6. CÁC TIỆN ÍCH GIÚP TĂNG CƯỜNG BẢO MẬT, PHÒNG CHỐNG BRUTE-FORCE CHO WEBSITE
Hầu hết các biện pháp ngăn ngừa brute-force trên đây đều có thể được thực hiện thông qua việc tinh chỉnh trong hệ thống CMS hoặc mã nguồn website. Tuy nhiên, nếu bạn không quá rành về mảng lập trình, có thể sử dụng những công cụ, ích tiện sau (danh sách bao gồm những tiện ích của WordPress):
Hãy nhớ rằng nếu không bị giới hạn về thời gian và tài nguyên, brute-force luôn luôn hack được website của bạn.
Vì vậy, phải luôn tăng cường, duy trì độ bảo mật cho website. Hãy sử dụng các mật khẩu mạnh mẽ hơn, thay đổi mật khẩu thường xuyên, áp dụng các thủ thuật bảo mật như ẩn đường dẫn đăng nhập, hạn chế số lần đăng nhập sai, yêu cầu captcha khi đăng nhập, v.v… Bạn có thể tự cải thiện bảo mật cho trang hoặc cài plugin nhanh gọn, hoặc cũng có thể thuê một đội ngũ thiết kế website chuyên nghiệp có chuyên môn về bảo mật cao hơn.
Và điều quan trọng nhất là không có phương pháp nào hoàn hảo để phòng chống brute-force cho website của bạn, tất cả đều nằm ở ý thức của người sử dụng.
Nguồn kienthuclinux
Có rất nhiều phương pháp được tin tặc sử dụng để truy cập vào máy tính, mạng máy tính, trang web hoặc dịch vụ trực tuyến. Thực hiện một cuộc tấn công Brute Force là một trong số các phương pháp đó. Nó là một trong những phương pháp đơn giản nhất, nhưng tốn thời gian để hack một máy chủ hoặc một máy tính bình thường. Cơ chế tấn công Brute force có những ưu điểm của nó. Nó cũng có thể được sử dụng để kiểm tra an ninh mạng và khôi phục mật khẩu đã quên.
Brute-force là một dạng tấn công bảo mật website bằng cách thử lần lượt các thông tin đăng nhập (tên đăng nhập, mật khẩu) khác nhau - Hacker thường sử dụng thư viện mật khẩu ( password dictionary ) để tự động đăng nhập cho đến khi thành công. Nó rất đơn giản và không sử dụng bất kỳ kỹ thuật thông minh nào. Vì phương pháp này chủ yếu dựa trên toán học ,phải mất ít thời gian hơn để Cr@ck mật khẩu, bằng cách sử dụng các ứng dụng brute force thay vì tìm ra chúng theo cách thủ công.
Tấn công Brute Force là tốt hay xấu tùy thuộc vào người sử dụng nó. Nó có thể được bọn tội phạm mạng cố gắng sử dụng để hack vào một máy chủ mạng, hoặc nó có thể được một quản trị viên mạng dùng để xem mạng của mình được bảo mật có tốt không. Một số người dùng máy tính cũng sử dụng các ứng dụng brute force để khôi phục mật khẩu đã quên
Khi tấn công brute-force, hacker sẽ sử dụng các thông tin đăng nhập thông dụng nhất (như tên đăng nhập là admin hoặc mật khẩu là 12345) để truy cập hệ thống. Nếu không thành công, hắn sẽ dùng cách suy đoán tên đăng nhập và người dùng dựa trên các gợi ý nào đó.
Nghe có vẻ khá mông lung nhưng trên thực tế brute-force lại có hiệu quả cao không ngờ. Lý do cụ thể sẽ được để cập ở phần sau, tuy nhiên trên lý thuyết không gì có thể ngăn chặn được brute-force. Nếu không bị giới hạn bởi thời gian và tài nguyên máy tính, một cuộc tấn công brute-force luôn luôn thành công.
Chúng ta chỉ có thể làm chậm quá trình brute-force, khiến hacker thấy nản hoặc không còn lợi ích khi bỏ ra thời gian quá lâu cho một trang web và từ bỏ.
Để làm được điều đó, trước hết ta phải biết cái gì đã mở đường cho một cuộc tấn công brute-force vào website của mình.
CÁCH PHÒNG CHỐNG BRUTE-FORCE CHO WEBSITE: KHÔNG CÓ AN TOÀN TUYỆT ĐỐI
Như đã nói ở phần đầu, không có cách bảo vệ website hoàn toàn khỏi brute-force. Tuy nhiên, chúng ta có thể làm chậm quá trình brute-force đi một cách đáng kể, khiến hacker cảm thấy chán nản hoặc không còn lợi ích khi gắng sức tấn công website. Sau đây là những phương pháp khả dụng để ngăn chặn brute-force cũng như tăng cường khả năng bảo mật tổng thể cho website.
1. TĂNG ĐỘ BẢO MẬT CỦA MẬT KHẨU
- Mật khẩu dài và mạnh ngăn chặn brute-force và các loại tấn công bảo mật khác
- Muốn mật khẩu mạnh mẽ, bạn phải tăng số lượng ký tự trong mật khẩu, phối hợp chữ viết hoa với chữ thường, kèm theo các ký tự đặc biệt– hacker sẽ mất rất nhiều thời gian để giải mã các mật khẩu như vậy.
- Hãy sử dụng những trình quản lý mật khẩu như Dashlane Password Manager, BitWarden… để chúng lưu trữ giúp bạn. Tất nhiên là bạn vẫn phải tự nhớ các mật khẩu và nhất là mật khẩu đăng nhập ứng dụng quản lý mật khẩu.
- Ngoài ra, Hãy viết ra 1 câu có ý nghĩa với bạn với độ dài tương đối. Sau đó, viết tắt tất cả chữ cái đầu của từng từ trong câu lại với nhau, bạn sẽ được 1 đoạn mã ngắn mà có thể nhớ lại dễ dàng.
Tất nhiên còn một lưu ý quan trọng nữa là bạn phải thường xuyên thay mật khẩu mới. Dùng mãi một mật khẩu sẽ gia tăng tỷ lệ bị giải mãi bởi các hệ thống máy tính của hacker, dẫn đến các cuộc tấn công bảo mật.
2. TĂNG CƯỜNG BẢO MẬT TỪ TÊN ĐĂNG NHẬP
Đừng sử dụng những cụm từ quá thông dụng và dễ đoán cho tên đăng nhập website. Tất nhiên tên đăng nhập không cần phức tạp như mật khẩu, nhưng chí ít cũng không phải là cụm một đến hai chữ thông thường, như: admin, lan, ngoc, tramanh, v.v…
Riêng đối với WordPress và cũng là đối với số đông các website hiện nay, tên đăng nhập có phức tạp mấy cũng sẽ bị lộ bởi tính năng Author Archive. Chỉ vài thao tác tra cứu trên thanh địa chỉ hacker đã có thể tìm ra tên đăng nhập của bất cứ tác giả nào trong website.
Để hạn chế điều này mà không cần phải tắt Author Archive, hãy đặt nickname trong mục Hồ sơ của từng tác giả, thành viên BQT website. Nickname sẽ xuất hiện trong URL của từng tác giả theo cấu trúc: http://tên-miền-website/author/nickname và bạn sẽ giấu được tên đăng nhập đi để ít bị brute-force hơn.
Tuy nhiên, vì không được mã hóa, tên đăng nhập cũng không có tác dụng bảo mật cao như mật khẩu. Thay đổi tên đăng nhập cũng là chưa đủ để bảo vệ website của bạn khỏi các cuộc tấn công brute-force.
3. ẨN ĐƯỜNG DẪN ĐĂNG NHẬP
Các website xây dựng từ các CMS hầu hết đều có các thiết lập giống nhau về đường dẫn đăng nhập, đăng xuất. Một số CMS như WordPress cho phép bạn thay đổi các đường dẫn này để tránh bị hacker khai thác, tấn công brute-force. Theo cách này, bạn thực ra đang tạo những URL mới có tác dụng chuyển hướng về đường dẫn đăng nhập, đăng xuất thực để che giấu chúng đi.
4. HẠN CHẾ SỐ LẦN ĐĂNG NHẬP SAI
Trong quá trình tấn công brute-force một website, các hacker phải thử đăng nhập rất nhiều lần. Để gián đoạn quá trình này, bạn có thể giới hạn số lần đăng nhập sai từ một địa chỉ IP. Bạn có thể thiết lập chặn 5 phút hoặc 10 phút sau 4-5 lần đăng nhập sai. Bấy nhiêu thời gian cũng là đủ để khiến tên hacker thấy chán nản và bỏ cuộc.
- Đầu tiên, để giới hạn số lần đăng nhập sai, hệ thống cần theo dõi và ghi nhận hoạt động của từng địa chỉ IP truy cập vào website. Điều này dẫn đến nhiều tác vụ ghi – truy xuất vào cơ sở dữ liệu của website. Nếu có quá nhiều người đăng nhập thì sẽ làm bắt máy chủ làm việc nhiều, hao tốn tài nguyên và công năng máy chủ.
- Thứ hai, nếu bị khóa hacker có thể đổi địa IP khác để tiếp tục dò tìm. Có những hacker và chương trình hack tự động có thể đổi IP sau mỗi lần thử nên phương án này cũng không quá hoàn hảo.
- Cuối cùng, hạn chế số lần đăng nhập sai có thể ảnh hưởng đến trải nghiệm của những người dùng bình thường. Đôi khi có những người thực sự quên mật khẩu hoặc bất cẩn nhập sai mật khẩu quá số lần quy định, nếu bị khóa đăng nhập sẽ gây ra cảm giác tiêu cực cho họ.
5. SỬ DỤNG CAPTCHA
Các hacker thường sử dụng các chương trình tự động (bot) để thực hiện tìm và thử các thông tin đăng nhập. Chúng có thể thực hiện hàng trăm lượt thử đăng nhập trong vòng 1 phút, hoàn toàn tự động và tiết kiệm công sức cho hacker.
Chương trình bot không thể nhập captcha, còn hacker sẽ mau nản chí khi gặp loại bảo mật này
Tuy nhiên những con bot này lại không thể nhập captcha chính xác được. Điều này bắt buộc hacker phải tự tay xác nhận captcha, sẽ dễ khiến hắn mệt mỏi và chán nản, bỏ cuộc. Vì vậy, captcha là một trong những phương pháp brute-force hiệu quả nhất.
Nhưng dù có thể chống brute-force rất tốt, thực tế là không nhiều website hiện đại sử dụng captcha. Lý do là bởi captcha còn gây ra sự bất tiện lên chính người dùng. Không ai muốn quá trình đăng nhập bị gián đoạn cả. Với lại, có rất nhiều người không thể đọc được captcha, không thể xác nhận đúng được.
Vì vậy, để vừa chống brute-force hiệu quả vừa không ảnh hưởng đến trải nghiệm người dùng, bạn có thể chỉ yêu cầu captcha sau 2-3 lần đăng nhập thất bại.
6. CÁC TIỆN ÍCH GIÚP TĂNG CƯỜNG BẢO MẬT, PHÒNG CHỐNG BRUTE-FORCE CHO WEBSITE
Hầu hết các biện pháp ngăn ngừa brute-force trên đây đều có thể được thực hiện thông qua việc tinh chỉnh trong hệ thống CMS hoặc mã nguồn website. Tuy nhiên, nếu bạn không quá rành về mảng lập trình, có thể sử dụng những công cụ, ích tiện sau (danh sách bao gồm những tiện ích của WordPress):
- Limit Logins Attempts: plugin hạn chế số lần đăng nhập sai và nhiều chức năng bảo mật khác
- Key Captcha: plugin giúp bạn tạo captcha cho WordPress một cách dễ dàng và bảo mật
- Brute Force Login Protection: ngăn chặn tấn công brute-force toàn diện với nhiều chức năng bảo mật
Hãy nhớ rằng nếu không bị giới hạn về thời gian và tài nguyên, brute-force luôn luôn hack được website của bạn.
Vì vậy, phải luôn tăng cường, duy trì độ bảo mật cho website. Hãy sử dụng các mật khẩu mạnh mẽ hơn, thay đổi mật khẩu thường xuyên, áp dụng các thủ thuật bảo mật như ẩn đường dẫn đăng nhập, hạn chế số lần đăng nhập sai, yêu cầu captcha khi đăng nhập, v.v… Bạn có thể tự cải thiện bảo mật cho trang hoặc cài plugin nhanh gọn, hoặc cũng có thể thuê một đội ngũ thiết kế website chuyên nghiệp có chuyên môn về bảo mật cao hơn.
Và điều quan trọng nhất là không có phương pháp nào hoàn hảo để phòng chống brute-force cho website của bạn, tất cả đều nằm ở ý thức của người sử dụng.
Nguồn kienthuclinux