اقرأ في هذا المقال
- ما هو هجوم تحليل القوة Power Analysis Attacks
- أنواع هجمات تحليل القوة Power Analysis Attacks
- أدوات هجمات تحليل القوة Power Analysis Attacks
- كيفية منع اختراق كلمة المرور باستخدام تحليل القوة Power Analysis Attacks
- طرق لحماية المستخدمين من اختراق كلمة المرور بهجوم تحليل القوة Power Analysis Attacks
تسمح هجمات تحليل القوة الكشف عن أسرار البطاقات الذكية للممارسين بتحديد كيفية حماية البطاقات الذكية من خلال تحليل إيجابيات وسلبيات الإجراءات المضادة المختلفة، تُستخدم البطاقات الذكية في العديد من التطبيقات بما في ذلك الخدمات المصرفية واتصالات الهاتف المحمول والتلفزيون المدفوع والتوقيعات الإلكترونية، في جميع هذه التطبيقات، يعتبر أمان البطاقات الذكية ذا أهمية حاسمة.
ما هو هجوم تحليل القوة Power Analysis Attacks
هجوم القوة الغاشمة هو أسلوب اختراق شائع، شكلت هجمات القوة الغاشمة خمسة بالمائة من الخروقات الأمنية المؤكدة، حيث يتضمن هجوم القوة الغاشمة تخمين اسم المستخدم وكلمات المرور للوصول غير المصرح به إلى النظام، القوة الغاشمة هي طريقة هجوم بسيطة ولها نسبة نجاح عالية، حيث يستخدم بعض المهاجمين التطبيقات والنصوص كأدوات القوة الغاشمة، تقوم هذه الأدوات بتجربة العديد من مجموعات كلمات المرور لتجاوز عمليات المصادقة، وفي حالات أخرى، يحاول المهاجمون الوصول إلى تطبيقات الويب من خلال البحث عن معرف الجلسة الصحيح، قد يشمل دافع المهاجم سرقة المعلومات أو إصابة المواقع ببرامج ضارة أو تعطيل الخدمة.
بينما لا يزال بعض المهاجمين ينفذون هجمات القوة الغاشمة يدويًا، يتم تنفيذ جميع هجمات القوة الغاشمة تقريبًا اليوم بواسطة الروبوتات، يمتلك المهاجمون قوائم ببيانات الاعتماد شائعة الاستخدام، أو بيانات اعتماد المستخدم الحقيقية، التي تم الحصول عليها عن طريق الخروقات الأمنية أو الويب المظلم، تهاجم برامج الروبوت بشكل منهجي مواقع الويب وتجرب قوائم بيانات الاعتماد هذه، وتُحطر المهاجم عند وصوله.
أنواع هجمات تحليل القوة Power Analysis Attacks
- هجوم القوة الغاشمة البسيط: يستخدم أسلوبًا منهجيًا للتخمين لا يعتمد على المنطق الخارجي.
- هجمات القوة الغاشمة المختلطة: تبدأ من المنطق الخارجي لتحديد أي تنوع في كلمة المرور من المرجح أن ينجح، ثم تواصل مع النهج البسيط لتجربة العديد من الاختلافات المحتملة.
- هجمات القاموس: تخمين أسماء المستخدمين أو كلمات المرور باستخدام قاموس للسلاسل أو العبارات المحتملة.
- هجمات جدولقوسقزح: جدول قوس قزح هو جدول محسوب مسبقًا لعكس وظائف تجزئة التشفير، كما يمكن استخدامه لتخمين وظيفة تصل إلى طول معين تتكون من مجموعة محدودة من الأحرف.
- هجوم القوة الغاشمة العكسي: يستخدم هذا الهجوم كلمة مرور شائعة أو مجموعة من كلمات المرور ضد العديد من أسماء المستخدمين المحتملة، حيث يستهدف شبكة من المستخدمين حصل المهاجمون على بيانات لها مسبقًا.
- حشو بيانات الاعتماد: يستخدم اسم المستخدم وكلمة المرور المعروفة سابقًا، وتجربتها ضد مواقع ويب متنوعة، حيث يستغل حقيقة أن العديد من المستخدمين لديهم نفس اسم المستخدم وكلمة المرور عبر أنظمة مختلفة.
أدوات هجمات تحليل القوة Power Analysis Attacks
- (Aircrack-ng): وهو حزمة أداة لرصد وتحليل الشبكات اللاسلكية، يمكن استخدامه على أنظمة التشغيل (Windows ،Linux ،iOS ،Android) يستخدم قاموسًا لكلمات المرور المستخدمة على نطاق واسع لاختراق الشبكات اللاسلكية.
- (John the Ripper): وهو عبارة عن برنامج يقوم بكسر كلمة المرور، يعمل على 15 نظامًا أساسيًا مختلفًا بما في ذلك (Unix ،Windows) يحاول إجراء كافة التركيبات الممكنة باستخدام قاموس لكلمات المرور الممكنة.
- (L0phtCrack): وهو تطبيق تدقيق واستعادة كلمات المرور، كما هو أداة لاختراق كلمات مرور (Windows) وهو نظام تشغيل رسومي، يستخدم جداول قوس قزح والقواميس وخوارزميات متعددة المعالجات.
- (Hashcat): وهي أداة لاستعادة كلمة المرور، يعمل على أنظمة التشغيل (Windows ،Linux)، يمكن أن يؤدي القوة الغاشمة البسيطة، والهجمات القائمة على القواعد، والهجين.
- (DaveGrohl): أداة مفتوحة المصدر لاختراق نظام التشغيل (Mac OS)، يمكن توزيعها عبر أجهزة كمبيوتر متعددة.
- (Ncrack): أداة لاختراق مصادقة الشبكة، يمكن استخدامه على أنظمة التشغيل (Windows،Linux).
كيفية منع اختراق كلمة المرور باستخدام تحليل القوة Power Analysis Attacks
- وجود أكبر عدد ممكن من الشخصيات.
- جمع بين الأحرف والأرقام والرموز.
- الاختلاف لكل حساب مستخدم.
- اجتناب الأنماط الشائعة.
طرق لحماية المستخدمين من اختراق كلمة المرور بهجوم تحليل القوة Power Analysis Attacks
- سياسةالتأمين: يمكنك قفل الحسابات بعد عدة محاولات تسجيل دخول خاطئة ثم إلغاء قفلها كمسؤول.
- التأخيرات التدريجية: يمكن قفل الحسابات لفترة محدودة من الوقت بعد محاولات تسجيل الدخول الفاشلة، كل محاولة تجعل التأخير أطول.
- (Captcha): وهو اختبار اتوماتيكي للتمييز بين الانسان والحاسب،، تتطلب أدوات مثل (reCAPTCHA) من المستخدمين إكمال مهام بسيطة لتسجيل الدخول إلى النظام، يمكن للمستخدمين إكمال هذه المهام بسهولة بينما لا تستطيع أدوات القوة الغاشمة.
- طلب كلمات مرور قوية: يمكن إجبار المستخدمين على تحديد كلمات مرور طويلة ومعقدة، كما يجب أيضًا تنفيذ تغييرات كلمة المرور بشكل دوري.
- المصادقة ذاتالعاملين: يمكن استخدام عوامل متعددة لمصادقة الهوية ومنح الوصول إلى الحسابات.