روش حمله Brute Force بر پایه آزمون و خطا واقع شده است. یکی از بیشترین کاربردهای این نوع حمله جهت لاگین کردن و پیدا کردن Credential کاربر است. به زبان ساده در این نوع حمله نامکاربری و کلمههای عبور متفاوتی چک میشوند تا در نهایت نامکاربری و کلمه عبور صحیح پیدا شوند.
در این نوع حمله عموما Bot ای طراحی شده تا کاراکترهای مختلفی را برای فیلدها تست کند.
حملات Brute Force بیشتر در چه مواردی استفاده می شوند؟
- پیدا کردن اطلاعات (Credential) لاگین جهت ورود به سایت
- پیدا کردن Encryption Keys
- پیدا کردن API Key
- پیدا کردن اطلاعات SSH Login
حملات Brute Force دقیقا شبیه سارق منزلی هستند که کلیدهای مختلف را جهت ورود به منزل تست میکند تا بالاخره یک کلید قفل درب را باز کند.
یکی از مهمترین توصیههای امنیتی جهت مقابله با این نوع حملات این است که از کلمههای عبور ساده و کوتاه استفاده نکنید. شما اگر برنامه نویس هستید یکی از سادهترین اقداماتی که میتوانید انجام دهید این است که کاربر را مجبور کنید تا از کلمات عبور پیچیده استفاده کند. مثلا حداقل طول کلمه عبور ۸ کاراکتر باشد و در آن باید از کاراکترهای خاص استفاده شود. این میتواند یک متد Validation کاربردی برای جلوگیری از حملات Brute Force باشد.
یکی از بهترین اقدامات امنیتی جهت مواجهه با Brute Force Attack استفاده از رمزنگاری (برای مثال TLS Encryption) است.