Väsytyshyökkäys on vanha, mutta edelleen hakkereiden käyttämä hyökkäysmuoto. Sen tarkoituksena on saada pääsy järjestelmään tai tilille syöttämällä eri salasanoja, kunnes oikea salasana löytyy. Tällaisilta hyökkäyksiltä on melko helppo suojautua. Lue jutusta, mistä brute force -hyökkäyksessä on kyse, ja miten sellaisen voi torjua.
Väsytyshyökkäys (englanniksi brute force attack) tarkoittaa hyökkäystä, jossa hyökkääjä pyrkii pääsemään järjestelmään kokeilemalla eri salasanoja niin kauan kunnes arvaus osuu oikeaan.
“Brute force attack” tai “brute force -hyökkäys” on monille tuttu termi. Suomeksi siitä käytetään nimeä väsytyshyökkäys. Brute force suomeksi taas tarkoittaa raakaa voimaa, joka sekin kuvaa hyvin hyökkäystapaa. Kyseessä on isku, jossa hakkeri pyrkii saamaan pääsyn järjestelmään syöttämällä erilaisia salasanoja tai pääsykoodeja, kunnes pääsy onnistuu. Hyökkäys ei siis ole erityisen hienostunut, vaan pääsy pyritään saamaan sinnikkäästi erilaisia salasanoja kokeilemalla.
Mikä on brute force -hyökkäys ja kuka sellaisia tekee? Näiden iskujen takana ovat hakkerit, jotka pyrkivät selvittämään salasanoja, PIN-koodeja tai salausavaimia kokeilemalla erilaisia vaihtoehtoja. Tarkoituksena on saada pääsy salasanalla suojatulle tilille tai alustalle tai purkaa tietojen salaus. Väsytyshyökkäysten avulla voidaan myös selvittää erilaisten yritysten tai järjestöjen verkon turvallisuutta.
Väsytyshyökkäys ei vaadi monimutkaista osaamista tai algoritmeja. Se vaatii vain aikaa ja tietojenkäsittelyvoimaa. Hyökkäyksen onnistumiseen vaikuttaa myös yksi tekijä: mitä monimutkaisempi salasana on, sitä vaikeampi se on murtaa.
Kuvitellaan, että salasanasi koostuu vain kahdesta numerosta. Tällöin hakkerin täytyy kokeilla 100 erilaista yhdistelmää selvittääkseen salasanasi. Eri yhdistelmien kokeileminen veisi aikaa, mutta mahdotonta se ei olisi –lopulta hakkeri saisi salasanasi selville ja pääsisi murtautumaan tilillesi.
Nykyään erilaisia tilejä luodessa vaaditaan riittävän monimutkainen salasana, joka koostuu ainakin kahdeksasta eri merkistä, ja sisältää isoja ja pieniä kirjaimia. Tällaisen salasanan arvaaminen eri vaihtoehtoja kokeilemalla on käytännössä mahdotonta, sillä vaihtoehtoja on miljoonia.
Hakkerit tietysti tietävät tämän, eikä väsytyshyökkäyksiä tehdäkään tietokoneen äärellä istuen, erilaisia salasanoja käsin syöttämällä. Sen sijaan hakkerit käyttäjät salasanojen arvaamiseen ohjelmistoa, joka voi kokeilla tuhansia eri salasanoja sekunnissa. Jos salasana koostuu muutamasta merkistä, ohjelma selvittää sen sekunneissa. Jos salasana taas on 16 merkkiä pitkä ja satunnainen, ohjelmaltakin sen selvittäminen voi viedä vuosia.
Hakkereiden tihutöitä vaikeuttavat myös verkkosivujen salasanojen suojausmenetelmät. Salasanat salataan ja/tai niistä säilytetään niin sanottu tiiviste, joka muodostetaan hajautusalgoritmilla. Salasanoja ei siis säilytetä tekstiversioina. Jos salasanat vuotavat, hakkerit eivät pääse niihin käsiksi sellaisinaan, vaan ennen salasanojen selvittämistä on selvitettävä monimutkainen salausavain – ja sen selvittäminen vaatii huiman määrän arvausyrityksiä.
Brute force -hyökkäyksiä on erilaisia. Katso alta, minkälaisia metodeja hakkerit käyttävät.
Tällaisen hyökkäyksen toteuttaminen vaatii aiemmin haltuun hankittuja oikeita käyttäjätunnuksia ja salasanoja. Ne on saatettu hankkia aiemmin suoritetulla väsytyshyökkäyksellä, ne voivat olla peräisin tietomurroista tai -vuodoista, tai ne on voitu ostaa pimeästä verkosta. Seuraavaksi hakkeri kokeilee niitä eri alustoilla. Jos hänellä on tiedossaan Facebook-tilisi kirjautumistiedot, hän voi kokeilla niitä verkkopankissasi. Tästä syystä onkin tärkeää luoda jokaiselle tilille oma uniikki salasanansa.
Salasanoissa käytetään usein ihmisten, kaupunkien, erilaisten asioiden ja esineiden nimiä. Se tekee niiden arvaamisesta helpompaa. Hakkerit saattava kokeilla myös erilaisia yleisiä sana- ja kirjainyhdistelmiä, kuten Salasana123.
Kuten nimikin kertoo, tämä metodi on käänteinen versio lukuisten salasanaversioiden testaamisesta. Sen sijaan väsytys koskee eri tilejä. Hakkeri siis valitsee yhden suositun salasanan ja kokeilee sitä mahdollisimman monille eri tileille. Pyrkimyksenä ei ole yleensä tietyn henkilön tilille pääseminen, vaan hakkeri pyrkii murtautumaan mille tahansa tilille.
Tärkeä tehtävä salasanojen suojaamisessa on verkkosivujen harjoittamalla suojauksella. Jos sivuston tai palvelun kyberturvallisuus on kunnossa, olet paremmassa suojassa. Toisin sanoen, jos sivusto on suojattu hyvin tietovuotoja ja -murtoja vastaan ja salasanat säilytetään huolellisesti, väsytysiskut eivät onnistu. Tähän käyttäjä ei voi itse suoraan vaikuttaa, mutta yksityishenkilötkin voivat tehdä osansa.
Vahvat salasanat eivät yksinään kuitenkaan riitä yksityisyytesi takaamiseen. Huolehdi siis siitä, että päivität ohjelmistosi, jotta käytät uusimmat kyberuhat huomioivia versioita, ja hanki virustorjuntaohjelma. VPN eli virtuaalinen yksityisverkko puolestaan huolehtii verkkoliikenteesi salaamisesta. IP-osoite pysyy myös suojassa VPN-palvelua käyttämällä. NordVPN tarjoaa käyttäjille NordPass-salasanaohjelman ja muita turvallisuusominaisuuksia.
Verkkoturvallisuus käynnistyy napsautuksella.
Pysy suojattuna maailman johtavan VPN:n avulla