A facebook védve van BruteForce támadások ellen?

Igen is meg nem is. :-)

Vegyük csak a jelszó védelmet, kívülről egyéb módon "közember" nem nagyon tud a facebook tartalmához hozzáférni.

A Brute Force módszer azt jelenti, hogy az összes variáció kipróbálásával (tehát nem logikai úton, "ésszel", hanem nyers erővel) hatolnak be egy rendszerbe. Vagyis ez ellen még csak elvben sem lehet védekezni, hiszen a teljes kipróbálás esetén az egyik variáció helyes. A helyes variáció megtalálásakor a védelmet _áttörték_.

Védekezni (most a teljes kipróbálásról van szó) NEM LEHET ellene, de meg lehet nehezíteni a behatolást. Például a lehetséges variációk számának az extrém módon megnövelésével, vagy az egyes variációk kipróbálásának számításigényével. Így már elérhető azt az állapot, hogy a támadónak több energiát (munkát, időt, vagyis PÉNZT) kell befektetnie a feltörésbe, mint amennyi a feltörés várható haszna (vagy amennyi a rendelkezésére áll).

Ez az állapot (mikor NEM TÉRÜL MEG a feltörés, vagy extrém hosszú ideig tart) adja a brute force támadások elleni egyedüli védelmet. Ezért használnak a biztonsági rendszerekben lehetőség szerint olyan eljárásokat (RSA algoritmus, elliptikus görbék = EC matematikája, stb.) amelyeknek nagy a számításigényük, és számításuk (feltörésük) matematikailag nem párhuzamosítható. Megfelelő mennyiségű variáció (ez RSA-nál úgy 2^100 felett, EC esetén 2^18 felett) a teljes kipróbálás, vagyis a brute force törés több ezer évig tartana. Katonai, nemzetbiztonsági rendszerekben RSA esetén 2^256 , EC esetén 2^24 a minimálisan alkalmazandó variációk száma, aminél a teljes kipróbálás tovább tartana, mint a Világegyetem jelenlegi életkora.

Egy töréshez természetesen lehet sok-sok gépet használni, de ennek korlátot szab a rendelkezésre álló pénz mennyisége, a számítások bonyolultsága pedig a kipróbálási időt szabja meg. Komoly biztonsági rendszereket úgy terveznek, hogy ezeknek a feltételeknek megfeleljenek. Emiatt egy jól megtervezett és felépített rendszert a gyakorlatban NEM LEHET brute force támadással feltörni.

A facebook-ot is úgy tervezték, hogy LEHETŐSÉG VAN a megfelelő variációs mennyiség használatára. A lehetséges variációk száma a jelszó hosszúságától függ. Ha az angol ABC 26 betűjét kis- és nagybetűként, és mellé a 10 számjegyet használhatom, az EGY karakteren 62 variáció. A jelszó hossza 32 karakter lehet, vagyis a variációk száma 62^32, ami extrém nagy mennyiség, a gyakorlatban NEM KIPRÓBÁLHATÓ.

Vagyis a facebook ELVBEN védett a brute force támadások ellen.

A gyakorlati gyengeséget nem maga a jelszó rendszer, hanem annak a használati módja adja. A felhasználók 99,99%-a rövid jelszót használ, ráadásul olyat, ami valamilyen triviális módon köthető hozzá (természetesen, hiszen neki meg kell jegyeznie ezt a jelszót). Így a használt jelszavak ÁLTALÁBAN (tehát nem mindig) a felhasználó adatainak, családjának, körülményeinek, szokásainak ismeretében jó eséllyel kitalálhatók. Ez természetes, hiszen sokszor választanak jelszóként bizonyos neveket, dátumokat, kedvenc eseményeket, tárgyakat, amelyek valamilyen módon jellemzőek a felhasználóra.

Pedig az ideális jelszó valami "élm5víAÖPT8AHy......."-szerű lenne, csak éppen ez megjegyezhetetlen.

Vagyis ha megfelelően kitartó vagy, és főleg ha alaposan ismered a felhasználót, akár még esélyed is lehet a sikeres támadásra. De ha végig gondolod, hogy mekkora a lehetséges variációk száma még megjegyezhető jelszavak esetén is, akkor belátható, hogy szinte esélytelen a behatolás.

Gondolj arra, hogy a SAJÁT elfelejtett jelszavadat is milyen nehezen tudod kitalálni - ha egyáltalán sikerül.

Pedro

"de még csak ismerned se kell az illetőt egyszerüen beirod a nevét a google-ba letöltöd pl tweeter és facebook idővonalát html-be ebből már egy ügyesebb program könnyen öszeálítja a felhasználóra optimalizált jelszólistát"

na ne mondd már, mert akkor én itt fosom össze magamat, ha te, vagy bármilyen ultraokos program kideríti az interneten fellelhető adataimból a jelszavamat

ez maximum azoknál a felhasználóknál válhat be, akik nem tudnak semmi mást megjegyezni a saját háziállatukon, a kedvenc zenekarukok, vagy az asd123-on kívül