# Brute-force attack

Brute-force là một cuộc tấn công đoán mật khẩu. Nó thử đi thử lại nhiều cách kết hợp tên người dùng và mật khẩu khác nhau cho đến khi vào được.

Biện pháp làm giảm nhẹ việc tấn công brute-force:

* Khuyến khích người dùng sử dụng mật khẩu phức tạp
* Khóa tài khoản sau vài lần thử
* Sử dụng Captcha để làm chậm brute-force
* Sử dụng xác thực đa yếu tố

<figure><img src="/files/X26kEUcRwiCwT9eY5heY" alt=""><figcaption></figcaption></figure>

## Types of Brute Force Attacks

### 1. Simple Brute Force Attacks

Nó xảy ra khi tin tặc cố gắng đoán thông tin đăng nhập của người dùng theo cách thủ công mà không cần sử dụng bất kỳ phần mềm nào. Điều này thường thông qua các kết hợp mật khẩu tiêu chuẩn hoặc mã số nhận dạng cá nhân (PIN - Personal Identification number). Những cuộc tấn công này rất đơn giản vì nhiều người vẫn sử dụng mật khẩu yếu, chẳng hạn như "password123" hoặc "1234" hoặc hành vi không tốt trong việc sử dụng mật khẩu như sử dụng cùng một mẩu khẩu cho nhiều trang web. Mẩu khẩu cũng có thể bị tin tặc đoán ra khi thực hiện công việc trinh sát tối thiểu để bẻ khóa mật khẩu tiềm năng của một cá nhân, chẳng hạn như tên đội thể thao yêu thích của họ.

### 2. Dictionary Attacks

Tấn công từ điển là một dạng tấn công cơ bản, trong đó kẻ tấn công chọn mục tiêu, sau đó kiểm tra các mật khẩu có thể có đối với tên người dùng của cá nhân đó. Bản thân phương thức tấn công này không được coi là một cuộc tấn công brute force về mặt kỹ thuật, nhưng nó có thể đóng một vai trò quan trọng trong quá trình bẻ khóa mật khẩu của kẻ xấu.

Cái tên "dictionary attack" xuất phát từ việc hacker chạy qua các từ điển và sửa đổi các từ có ký tự đặc biệt và các số. Kiểu tấn công này thường tốn thời gian và có cơ hội thành công thấp so với các phương thức tấn công mới hơn, hiệu quả hơn.

Tấn công từ điển cũng có thể được cá nhân hóa bằng cách sử dụng các chi tiết của mục tiêu như ngày sinh, tên vợ/chồng, tên con, số xe,.vv

Biện pháp giảm nhẹ:

* Khuyến cáo người dùng không nên giữ một từ đơn giản hoặc thông tin để nhận biết làm mật khẩu
* Khuyến khích người dùng sử dụng mật khẩu phức tạp
* Khóa tài khoản sau vài lần thử sai
* Sử dụng CAPTCHA để làm chậm hoạt động tấn công
* Sử dụng xác thực nhiều yếu tốt MFA

### 3. Hybrid Brute Force Attacks

Tấn công vũ phu hỗn hợp là khi tin tặc kết hợp phương pháp tấn công từ điển với một cuộc tấn công vũ phu đơn giản. Nó bắt đầu với việc hacker biết tên người dùng, sau đó thực hiện một cuộc tấn công từ điển và các phương pháp tấn công đơn giản để khám phá tổ hợp đăng nhập tài khoản. Kẻ tấn công bắt đầu với một danh sách các từ tiềm năng, sau đó thử nghiệm một tổ hợp ký tự, chữ cái và số để tìm ra mật khẩu chính xác. Cách tiếp cận này cho phép tin tặc khám phá mật khẩu kết hợp các từ phổ biến hoặc phổ biến với số, năm, hoặc ký tự ngẫu nhiên, chẳng hạn như "SanDiego123" hoặc "Rover2020"

### 4. Reverse Brute Force Attacks

Một cuộc tấn công vũ phu ngược cho thấy kẻ tấn công bắt đầu quá trình bằng một mật khẩu đã biết, mật khẩu này thường được phát hiện thông qua vi phạm mạng. Họ sử dụng mật khẩu đó để tìm kiếm thông tin xác thực đăng nhập phù hợp bằng danh sách hàng triệu tên người dùng. Những kẻ tấn công cũng có thể sử dụng mật khẩu yếu thường được sử dụng, chẳng hạn như "Password123", để tìm kiếm thông tin trùng khớp trong cơ sở dữ liệu tên người dùng.

### 5. Credential Stuffing

Việc nhồi nhét thông tin xác thực nhắm vào các hành vi không tốt trong việc sử dụng mật khẩu của người dùng. Những kẻ tấn công thu thập các kết hợp tên người dùng và mật khẩu mà chúng đã đánh cắp, sau đó chúng kiểm tra trên các trang web khác để xem liệu chúng có thể có quyền truy cập vào các tài khoản người dùng bổ sung hay không. Cách tiếp cận này thành công nếu mọi người sử dụng cùng một tổ hợp tên người dùng và mật khẩu hoặc sử dụng lại mật khẩu cho nhiều tài khoản và hồ sơ mạng xã hội khác nhau.

### 6. Rainbow attack

Tấn công cầu vồng là một kiểu tấn công bạo lực sử dụng hàm băm (bash) mật khẩu được tính toán trước, tức là thay vì cố gắng truyền mật khẩu, nó sẽ cố gắng khớp hàm băm trong cơ sở dữ liệu người dùng.

Giảm nhẹ:

* Sử dụng kỹ thuật salt, salt is a random data được truyền vào hàm băm cùng với văn bản thuần túy.
* Khóa tài khoản sau vài lần đăng nhập
* Sử dụng mã CAPTCHA
* Sử dụng xác thực đa yếu tố.

## Động cơ đằng sau các cuộc tấn công này là gì?

Việc tấn công brute force đòi hỏi rất nhiều kiên nhẫn vì có thể mất vài tháng hoặc thậm trí nhiều năm để kẻ tấn công bẻ khóa thành công mật khẩu hoặc khóa mã hóa. Tuy nhiên phần thưởng tiềm nằng là rất lớn.

* **Exploit Ads or Activity Data (Khai thác quảng cáo hoặc dữ liệu hoạt động):** Như đặt quảng cáo spam trên các trang web phổ biến cho phép kẻ tấn công kiếm tiền mỗi khi khách truy cập nhấp vào hoặc xem quảng cáo; Định tuyến lại lưu lượng truy cập đến một trang web hợp pháp đến các trang web quảng cáo được ủy quyền bất hợp pháp; Lây nhiễm phần mềm độc hại vào trang web và khách truy cập trang web, chẳng hạn như phần mềm gián điệp để theo dõi hoạt động. Dữ liệu thu thập được sau đó sẽ được bán cho các nhà quảng cáo mà không có sự đồng ý của người dùng.
* **Steal Personal Data (Ăn cắp dữ liệu cá nhân)**: việc hack vào tài khoản cá nhân của người dùng có thể cung cấp một kho dữ liệu, từ chi tiết tài chính và tài khoản ngân hàng đến thông tin y tế bí mật. Quyền truy cập vào tài khoản cho phép kể tấn công giả mạo danh tính của một người, đánh cắp tiền của họ, bán thông tin đăng nhập của họ cho bên thứ ba hoặc sử dụng thông tin để thực hiện các cuộc tấn công rộng hơn. Dữ liệu cá nhân và thông tin đăng nhập cũng có thể bị đánh cắp thông qua các vụ vi phạm dữ liệu của công ty, khiến kẻ tấn công có quyền truy cập vào cơ sở dữ liệu nhạy cảm của công ty.
* **Spread Malware (Lây lan phần mềm độc hại):** Họ có thể thực hiện điều này bằng cách lây lan phần mềm độc hại qua email hoặc SMS (short Message Service), che giấu phần mềm độc hại trong trang web giả mạo được thiết kế trông giống như một trang web hợp pháp hoặc chuyển hướng khách truy cập trang web đến các trang web độc hại. Bằng cách lây nhiễm phần mềm độc hại vào máy tính của người dùng, kẻ tấn công sau đó có thể xâm nhập vào các hệ thống và mạng được kết nối và khởi động các cuộc tấn công mạng rộng hơn nhằm vào các tổ chức.
* **Hijack Systems for Malicious Activity (Chiếm đoạt hệ thống cho hoạt động độc hại):** botnet, DDoS
* **Ruin a Company or Website's Requtaion (làm hỏng danh tiếng của một công ty hoặc trang web)**

## Brute Force Attack Tools

* `Aircrack-ng`: Một công cụ đánh giá mức độ bảo mật của mạng Wi-Fi để giám sát và xuất dữ liệu cũng như tấn công một tổ chức thông qua các phương pháp như điểm truy cập giả mạo (fake access points) và tiêm gói tin (packet injection).
* `John the Ripper`: công cụ khôi phục mật khẩu mã nguồn mở hỗ trợ hàng trăm loại mật mã và hàm băm, bao gồm mật khẩu người dùng cho macOS, Unix, và Window, database servers, web applications, network traffic (lưu lượng mạng), encrypted private keys, and documents files.

## How to Prevent Brute Force Attacks (làm thế nào để ngăn chặn các cuộc tấn công vũ phu)

### 1. Use Stronger Password Practices

* Mật khẩu mạnh nhiều ký tự;
* Sử dụng cụm mật khẩu phức tạp;
* Tạo quy tắc xây dựng mật khẩu;
* Tránh những mật khẩu phổ biến;
* Sử dụng mật khẩu duy nhất cho mọi tài khoản;&#x20;
* Sử dụng trình quản lý mật khẩu.

### 2. Better Protect User Passwords (bảo vệ mật khẩu người dùng tốt hơn)

Tổ chức cũng có trách nhiệm bảo vệ mật khẩu người dùng và tăng cường an ninh mạng thông qua các chiến thuật như:

1. Use high encryption rates: mã hóa với 256-bit
2. Salt the hash: Họ thêm a salt - các chữ cái và số ngẫu nhiên được lưu trữ trong cơ sở dữ liệu riêng biệt - vào mật khẩu để tăng cường và bảo vệ nó.
3. Use multi-factor authentication (MFA)
4. Limit login attempts (giới hạn số lần đăng nhập)
5. Use CAPTCHA to support logins
6. Use an Internet Protocol (IP) backlist: giúp bảo vệ mạng doanh nghiệp và người dùng khỏi những kẻ tấn công đã biết. Điều quan trọng phải cập nhật danh sách đen này để ngăn chặn các cuộc tấn công mới.
7. Remove unused accounts (xóa các tài khoản không được sử dụng).

### 3. Provide Ongoing Security and Password Support (cung cấp hỗ trợ mật khẩu và bảo mật liên tục)

* **Provide password education (Cung cấp kiến thức về mật khẩu):** cần được đào tạo và cập nhật thường xuyên để giúp họ nhận thức được các mối đe dọa mới nhất và củng cố các phương pháp hay.
* **Monitor networks in real time (Giám sát mạng trong thời gian thực):** có thể được phát hiện thông qua hoạt động nhận biết, chẳng hạn như nhiều lần đăng nhập và đăng nhập từ thiết bị mới hoặc vị trí bất thường.

***

Nguồn:

1. <https://www.fortinet.com/resources/cyberglossary/brute-force-attack#:~:text=A%20brute%20force%20attack%20is,and%20organizations'%20systems%20and%20networks.>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://viettaliii.gitbook.io/home/soc-and-dfir/interview-questions/brute-force-attack.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.