brute force attack
Főnév
brute force attack (tsz. brute force attacks)
- (informatika) A brute force attack, vagyis nyers erővel történő jelszótörés, egy olyan klasszikus és alapvető kibertámadási módszer, amely során a támadó minden lehetséges jelszókombinációt kipróbál, amíg meg nem találja a helyeset. Ez a módszer idő- és erőforrás-igényes, de egyszerű és garantáltan sikeres lehet, ha elég idő és számítási kapacitás áll rendelkezésre. Brute force-támadások alkalmazhatók nemcsak jelszavak, hanem titkos kulcsok, PIN-kódok, kriptográfiai hash-ek feltörésére is.
🎯 Mi a brute force támadás célja?
A cél: kitalálni egy titkos adatot – például egy jelszót, titkos kulcsot, PIN-kódot – próbálkozásokkal, minden lehetséges változatot sorban kipróbálva.
A módszer:
- Nem feltételez előzetes tudást a jelszóról.
- Az algoritmus minden lehetőséget kipróbál az adott karakterkészletből és hosszúságon belül.
- Végül biztosan eléri a helyes megoldást – ez a brute force “ereje”.
🔍 Hogyan működik?
1. A támadó megszerez egy bejelentkezési űrlapot vagy jelszó-hash-t.
2. A brute force szoftver automatikusan generálja és kipróbálja a lehetséges jelszavakat:
- pl.
a,b, …,aa,ab,ac, …,z9,zz,zz9stb.
3. Ha a célrendszer minden próbálkozásra válaszol, a támadó egyszer csak megtalálja a helyes jelszót.
📈 Brute force támadás matematikája
A brute force támadás hatékonysága a következő tényezőktől függ:
- Karakterkészlet mérete (pl. csak kisbetűk = 26, kisbetű + nagybetű = 52, számokkal = 62, stb.)
- Jelszó hossza
Példa: 8 karakteres jelszó, kis- és nagybetűk + számok →
62⁸ ≈ 2.18 × 10¹⁴ kombináció
Ha a támadó másodpercenként 1 milliárd próbálkozásra képes, még akkor is több mint 2 napig tartana az összes kombináció végigpróbálása. Hosszabb és komplexebb jelszavaknál ez gyakorlatilag kivitelezhetetlenné válik.
🧱 Brute force típusai
| Típus | Leírás |
|---|---|
| Egyszerű brute force | Minden lehetséges karakterkombináció kipróbálása. |
| Hybrid brute force | Szótáralapú támadás kombinálva brute force-szal (pl. “jelszó” + számok). |
| Reverse brute force | Ismert jelszót próbálnak ki sok felhasználónévre (pl. “123456”). |
| Credential stuffing | Kiszivárgott jelszavakat próbálnak ki más rendszereken. |
| Distributed brute force | Több gép (pl. botnet) használata a támadás felgyorsításához. |
| Offline brute force | Letöltött jelszó-hash alapján végrehajtott támadás. |
🧰 Eszközök brute force támadáshoz
| Eszköz | Leírás |
|---|---|
| John the Ripper | Jelszó-hash törés, offline brute force |
| Hashcat | GPU-alapú brute force/wordlist támadások |
| Hydra | Hálózati szolgáltatások (FTP, SSH, HTTP) ellen |
| Aircrack-ng | WPA/WPA2 Wi-Fi jelszavak brute force |
| Burp Suite Intruder | Webes belépési űrlapok brute force támadása |
📌 Célpontok
- Weboldalak login felületei
- SSH, FTP, Telnet szerverek
- Wi-Fi routerek (WPA2)
- ZIP, RAR fájlok
- Windows/Linux bejelentkezési jelszavak
- Kriptográfiai hash-ek
🔓 Mikor működik jól?
- Rövid jelszavak (4–6 karakter)
- Egyszerű jelszókombinációk (pl. csak számok)
- Nincs próbálkozáskorlátozás (rate limiting, lockout)
- Offline hash fájlokkal való támadás, ahol nincs időkorlát
⚠️ Kockázatok a védelem hiányában
| Kockázat | Következmény |
|---|---|
| Gyenge jelszavak | Támadó könnyedén beléphet |
| Hiányzó próbálkozás-korlát | Végtelen próbálkozás lehetősége |
| Nem titkosított jelszótárolás | Hash brute force támadások |
| Hiányzó naplózás | Támadás észrevétlen maradhat |
🛡️ Védekezés brute force ellen
1. Erős jelszavak
- Hosszú (12+ karakter), véletlenszerű jelszavak, vegyes karakterkészlet.
2. Kétfaktoros hitelesítés (2FA/MFA)
- Még ha a jelszó ki is derül, a támadó nem tud belépni.
3. Rate limiting
- Időkorlát beállítása próbálkozások között (pl. 1 próbálkozás/10 másodperc).
4. Account lockout
- Sikertelen próbálkozások után a fiók ideiglenesen zárolódik.
5. IP-alapú védelem, CAPTCHA
- Automatizált robotok megakadályozása.
6. Jelszavak hash-elése és “sózása”
- bcrypt, Argon2, scrypt – lassú, CPU-igényes hashing algoritmusok, amelyek lassítják a brute force-ot.
🔍 Brute force a valóságban
- 2020-as Twitter-támadás során a támadók egy admin fiókhoz fértek hozzá gyenge jelszóval.
- A 2016-os Dropbox-adatszivárgás során kiszivárgott hash fájlok brute force támadások célpontjává váltak.
- Credential stuffing támadások milliószám futnak a kiszivárgott jelszavak újrapróbálásával.
✅ Összefoglalás
| Fogalom | Leírás |
|---|---|
| Brute force | Minden lehetséges jelszókombináció kipróbálása |
| Cél | Jelszavak, PIN-ek, kulcsok feltörése |
| Eszközök | John the Ripper, Hydra, Hashcat |
| Hatékonyság | Rövid, egyszerű jelszavaknál hatékony |
| Védelem | Hosszú jelszavak, 2FA, lockout, hashing |
| Kritikus célpontok | Webloginek, SSH, Wi-Fi, hash fájlok |
A brute force támadás bár egyszerű, sosem veszítette el az erejét, főleg ott, ahol a biztonsági alapelveket nem tartják be. A védekezés ellene nem drága, nem bonyolult – csupán jól kell megválasztani a jelszót, beállítani a korlátozásokat, és bevezetni az MFA-t.
- brute force attack - Szótár.net (en-hu)
- brute force attack - Sztaki (en-hu)
- brute force attack - Merriam–Webster
- brute force attack - Cambridge
- brute force attack - WordNet
- brute force attack - Яндекс (en-ru)
- brute force attack - Google (en-hu)
- brute force attack - Wikidata
- brute force attack - Wikipédia (angol)