私は特に暗号化について話しているのではなく、全体としてのセキュリティについて話している。データやシステムを保護するために導入できるセキュリティ対策はありますか?それは、仮想的な時間にわたって仮想的な量のリソースがそれに対抗する場合でも耐えることができますか?
答えはノーだと思いますが、私はセキュリティの専門家ではないので、これを大声で言う前に再確認したいと思いました。
更新:私は指摘する必要があります、私は何かを実装する必要があるのでこれを求めていません。それは怠惰な好奇心です。また、ここで仮説を扱っても大丈夫だということにも言及する必要があります。関連性があれば、量子コンピューティングのようなものを自由に方程式に取り入れてください。
ワンタイムパッドはそのような暗号化技術です。それはブルートフォースに対して基本的に安全です。言い換えれば、情報理論的に安全です。キーがない場合は、どのような計算能力を投入しても、キーを「壊す」ことはできません。秘訣は、すべての答えが同じようにありそうなので、正しい答えを他のすべての可能な答えと区別することは不可能であるということです。
残念ながら、ワンタイムパッドは実際にはほとんど役に立ちません。キーはプレーンテキストと同じ長さである必要があり、キーが再利用されることはなく、ランダムである必要があるためです。これはすべて、覚えやすいパスワードからキーを取得できないことを意味します。そのため、キー自体の安全な保管方法が必要です。ただし、すでに大規模なキーを保護できる場合は、暗号化せずにプレーンテキストをそこに配置することをお勧めします。
最初に頭に浮かぶのは、何度も試行に失敗した後、アクセスを(少なくともしばらくの間)シャットダウンすることです。間違ったPINを数回使用した後に銀行カードが無効になったり、電話のロックを繰り返し解除しなかったために自分のデータを削除したりします。
もちろん、これはファイルでは機能しません。攻撃者は自分のマシンでコピーを作成できます。
まず、ITsec.SEでこれを試してみたほうがいいでしょう。
さて、あなたの質問に答えるために:
はい、もちろんあります。
ブルートフォース攻撃は、ある種の秘密(パスワード、暗号化キーなど)を「推測」することと、圧倒的なリソース(フラッディング、またはサービス拒否-DoS)の2つを実行できます。
他の形態の攻撃を防ぐことを目的とした対抗策は、ブルートフォースとは無関係です。
たとえば、SQLインジェクションから保護するための標準的な推奨事項(入力検証、ストアドプロシージャ(またはパラメータ化されたクエリ)、コマンド/パラメータオブジェクトなど)を取り上げます。
ここでブルートフォースを試みますか?コードが正しく書かれていれば、推測する「秘密」はありません。
さて、「ブルートフォース攻撃を防ぐ方法は?」と尋ねる場合、答えは攻撃者がブルートフォースを試みているものによって異なります。
パスワード/ログイン画面のブルートフォースについて話していると仮定すると、いくつかのオプションがあります:強力なパスワードポリシー(より困難にするため)、アカウントのロックアウト(ブルートフォースの試みの速度を制限するため)、スロットル(再び試みの速度を制限するため)など。
理想的にはありませんが、通常、提供するソリューションでは、追加の手順を導入できます。直接ブルートフォースにさらされる可能性のあるデータを難読化して、困難または無意味にすることができます。
例:暗号化されて有線で送信されるパスワードはブルートフォース攻撃を受ける可能性がありますが、パスワードを何らかの形式に変換してから有線で送信することで難読化された場合、攻撃者が変換機能も知らない限り、ブルートフォースでさえ役に立たない可能性があります
繰り返し/大量の試行(たとえば、ログイン)をいつでも探して、ソース(IP)を一時的または永続的に禁止することができます。
もちろん、分散型攻撃について話すのははるかに困難ですが、それでも大量の一時的な禁止を発行し、未知のユーザーに対してサービスを縮小することができます。
特効薬があるかどうかはわかりませんが、創造性を発揮してください:)既知のエクスプロイトがないため、自家製のソリューションを使用すると、チャンスが増える可能性があります。