Mikä on brute force -hyökkäys eli väsytyshyökkäys?

Väsytyshyökkäys (englanniksi brute force attack) tarkoittaa hyökkäystä, jossa hyökkääjä pyrkii pääsemään järjestelmään kokeilemalla eri salasanoja niin kauan kunnes arvaus osuu oikeaan.

“Brute force attack” tai “brute force -hyökkäys” on monille tuttu termi. Suomeksi siitä käytetään nimeä väsytyshyökkäys. Brute force suomeksi taas tarkoittaa raakaa voimaa, joka sekin kuvaa hyvin hyökkäystapaa. Kyseessä on isku, jossa hakkeri pyrkii saamaan pääsyn järjestelmään syöttämällä erilaisia salasanoja tai pääsykoodeja, kunnes pääsy onnistuu. Hyökkäys ei siis ole erityisen hienostunut, vaan pääsy pyritään saamaan sinnikkäästi erilaisia salasanoja kokeilemalla.

Väsytyshyökkäyksen määrittely

Mikä on brute force -hyökkäys ja kuka sellaisia tekee? Näiden iskujen takana ovat hakkerit, jotka pyrkivät selvittämään salasanoja, PIN-koodeja tai salausavaimia kokeilemalla erilaisia vaihtoehtoja. Tarkoituksena on saada pääsy salasanalla suojatulle tilille tai alustalle tai purkaa tietojen salaus. Väsytyshyökkäysten avulla voidaan myös selvittää erilaisten yritysten tai järjestöjen verkon turvallisuutta.

Väsytyshyökkäys ei vaadi monimutkaista osaamista tai algoritmeja. Se vaatii vain aikaa ja tietojenkäsittelyvoimaa. Hyökkäyksen onnistumiseen vaikuttaa myös yksi tekijä: mitä monimutkaisempi salasana on, sitä vaikeampi se on murtaa.

Miten brute force -hyökkäys tehdään?

Kuvitellaan, että salasanasi koostuu vain kahdesta numerosta. Tällöin hakkerin täytyy kokeilla 100 erilaista yhdistelmää selvittääkseen salasanasi. Eri yhdistelmien kokeileminen veisi aikaa, mutta mahdotonta se ei olisi –lopulta hakkeri saisi salasanasi selville ja pääsisi murtautumaan tilillesi.

Nykyään erilaisia tilejä luodessa vaaditaan riittävän monimutkainen salasana, joka koostuu ainakin kahdeksasta eri merkistä, ja sisältää isoja ja pieniä kirjaimia. Tällaisen salasanan arvaaminen eri vaihtoehtoja kokeilemalla on käytännössä mahdotonta, sillä vaihtoehtoja on miljoonia.

Hakkerit tietysti tietävät tämän, eikä väsytyshyökkäyksiä tehdäkään tietokoneen äärellä istuen, erilaisia salasanoja käsin syöttämällä. Sen sijaan hakkerit käyttäjät salasanojen arvaamiseen ohjelmistoa, joka voi kokeilla tuhansia eri salasanoja sekunnissa. Jos salasana koostuu muutamasta merkistä, ohjelma selvittää sen sekunneissa. Jos salasana taas on 16 merkkiä pitkä ja satunnainen, ohjelmaltakin sen selvittäminen voi viedä vuosia.

Hakkereiden tihutöitä vaikeuttavat myös verkkosivujen salasanojen suojausmenetelmät. Salasanat salataan ja/tai niistä säilytetään niin sanottu tiiviste, joka muodostetaan hajautusalgoritmilla. Salasanoja ei siis säilytetä tekstiversioina. Jos salasanat vuotavat, hakkerit eivät pääse niihin käsiksi sellaisinaan, vaan ennen salasanojen selvittämistä on selvitettävä monimutkainen salausavain – ja sen selvittäminen vaatii huiman määrän arvausyrityksiä.

Erilaisia väsytyshyökkäystapoja

Brute force -hyökkäyksiä on erilaisia. Katso alta, minkälaisia metodeja hakkerit käyttävät.

Kirjautumistietojen kierrätys

Tällaisen hyökkäyksen toteuttaminen vaatii aiemmin haltuun hankittuja oikeita käyttäjätunnuksia ja salasanoja. Ne on saatettu hankkia aiemmin suoritetulla väsytyshyökkäyksellä, ne voivat olla peräisin tietomurroista tai -vuodoista, tai ne on voitu ostaa pimeästä verkosta. Seuraavaksi hakkeri kokeilee niitä eri alustoilla. Jos hänellä on tiedossaan Facebook-tilisi kirjautumistiedot, hän voi kokeilla niitä verkkopankissasi. Tästä syystä onkin tärkeää luoda jokaiselle tilille oma uniikki salasanansa.

Sanakirjahyökkäys

Salasanoissa käytetään usein ihmisten, kaupunkien, erilaisten asioiden ja esineiden nimiä. Se tekee niiden arvaamisesta helpompaa. Hakkerit saattava kokeilla myös erilaisia yleisiä sana- ja kirjainyhdistelmiä, kuten Salasana123.

Käänteinen väsytyshyökkäys

Kuten nimikin kertoo, tämä metodi on käänteinen versio lukuisten salasanaversioiden testaamisesta. Sen sijaan väsytys koskee eri tilejä. Hakkeri siis valitsee yhden suositun salasanan ja kokeilee sitä mahdollisimman monille eri tileille. Pyrkimyksenä ei ole yleensä tietyn henkilön tilille pääseminen, vaan hakkeri pyrkii murtautumaan mille tahansa tilille.

Miten omat salasanat ja tilit voi suojata väsytyshyökkäyksiltä?

Tärkeä tehtävä salasanojen suojaamisessa on verkkosivujen harjoittamalla suojauksella. Jos sivuston tai palvelun kyberturvallisuus on kunnossa, olet paremmassa suojassa. Toisin sanoen, jos sivusto on suojattu hyvin tietovuotoja ja -murtoja vastaan ja salasanat säilytetään huolellisesti, väsytysiskut eivät onnistu. Tähän käyttäjä ei voi itse suoraan vaikuttaa, mutta yksityishenkilötkin voivat tehdä osansa.

• Käytä kaksivaiheista tunnistaumista. Monissa palveluissa voi valita kaksivaiheisein tunnistautumisen. Tämä tarkoittaa sitä, että pelkkä salasana ei riitä tilille pääsyyn, vaan sen lisäksi pääsy on vahvistettava esimerkiksi laitteellesi tai sähköpostiisi lähetettävällä koodilla. Jos tilillesi pyritään asiattomasti, saat siitä tiedon nopeasti, ja voit vaihtaa salasanasi.
• Panosta vahvoihin salasanoihin. Luo salasanoja, jotka ovat pitkiä, satunnaisia ja monimutkaisia. Tällaisia salasanoja kannattaa luoda salasanageneraattoria käyttäen, ja niitä on fiksua säilyttää salasanojen hallintaohjelmassa, sillä hyviä salasanoja on vaikea muistaa.
• Vaihda salasanat säännöllisesti. Monimutkaisen salasanan murtaminen väsytyshyökkäyksellä voi kestää kauan. Teet pitkään kestäneen yrityksen tyhjäksi vaihtamalla salasanasi.
• Älä käytä samaa salasanaa eri tileillä. Jos käytät samaa salasanaa eri palveluissa, hakkeri saa onnistuessaan pääsyn useammalle tilille yhden sijaan.
• Käytä salasanojen hallintaohjelmaa. Tällaiset ohjelmat huolehtivat salasanojen säilytyksestä puolestasi. Se on turvallisempaa kuin salasanojen säilyttäminen ylös kirjoitettuina ja mahdollistaa monimutkaisten salasanojen käytön. Esimerkiksi NordVPN:n oma NordPass tarjoaa lisäksi salasanojen automaattisen täytön ja salasanojen säilytyksen salatussa holvissa.

Vahvat salasanat eivät yksinään kuitenkaan riitä yksityisyytesi takaamiseen. Huolehdi siis siitä, että päivität ohjelmistosi, jotta käytät uusimmat kyberuhat huomioivia versioita, ja hanki virustorjuntaohjelma. VPN eli virtuaalinen yksityisverkko puolestaan huolehtii verkkoliikenteesi salaamisesta. IP-osoite pysyy myös suojassa VPN-palvelua käyttämällä. NordVPN tarjoaa käyttäjille NordPass-salasanaohjelman ja muita turvallisuusominaisuuksia.