การโจมตีด้วยกำลังดุร้าย

Q: ขีดจำกัดทางทฤษฎี

ทรัพยากรที่จำเป็นสำหรับการโจมตีแบบเดาสุ่มจะเพิ่มขึ้น แบบทวีคูณ ตาม ขนาดของคีย์ ไม่ใช่แบบเชิงเส้น แม้ว่ากฎระเบียบการส่งออกของสหรัฐฯ

ในการเข้ารหัสลับการโจมตีแบบเดาแบบสุ่มหรือการค้นหาคีย์แบบครบถ้วนเป็นการโจมตีแบบวิเคราะห์การเข้ารหัสลับที่ประกอบด้วยผู้โจมตีส่งคีย์หรือรหัสผ่าน ที่เป็นไปได้จำนวนมาก โดยหวังว่าจะเดาได้อย่างถูกต้องในที่สุด กลยุทธ์นี้ในทางทฤษฎีสามารถใช้เพื่อทำลายการเข้ารหัสรูปแบบใดก็ได้ที่ไม่ปลอดภัยตามทฤษฎีข้อมูล [ ^{1 ] อย่างไรก็ตาม}ในระบบการเข้ารหัสลับที่ออกแบบมาอย่างเหมาะสม โอกาสที่จะเดาคีย์ได้สำเร็จนั้นมีน้อยมาก

เมื่อถอดรหัสผ่านวิธีนี้รวดเร็วมากเมื่อใช้ตรวจสอบรหัสผ่านสั้นทั้งหมด แต่สำหรับรหัสผ่านที่ยาวกว่า จะใช้วิธีการอื่น เช่นการโจมตีด้วยพจนานุกรมเนื่องจากการค้นหาแบบ Brute-force ใช้เวลานานเกินไป รหัสผ่าน วลีรหัสผ่าน และคีย์ที่ยาวกว่าจะมีค่าที่เป็นไปได้มากกว่า ทำให้ยากต่อการถอดรหัสมากกว่ารหัสผ่านที่สั้นกว่าอย่างมากเนื่องจากความหลากหลายของตัวอักษร^{[ 2 ]}

การโจมตีแบบ Brute-force สามารถลดประสิทธิภาพลงได้โดยการใช้เทคนิคการยืดคีย์ ซึ่งทำให้ผู้โจมตีตรวจจับได้ยากขึ้นเมื่อรหัสถูกถอดรหัส หรือทำให้ผู้โจมตีต้องทำงานหนักขึ้นเพื่อทดสอบการเดาแต่ละครั้ง หนึ่งในมาตรวัดความแข็งแกร่งของระบบการเข้ารหัสคือ ระยะเวลาที่ผู้โจมตีจะต้องใช้ในทางทฤษฎีในการโจมตีแบบ Brute-force ให้สำเร็จ^{[ 3 ]}

การโจมตีแบบ Brute-force เป็นการประยุกต์ใช้การค้นหาแบบ Brute-force ซึ่งเป็นเทคนิคการแก้ปัญหาทั่วไปในการแจงนับผู้สมัครทั้งหมดและตรวจสอบแต่ละราย คำว่า 'hammering' บางครั้งใช้เพื่ออธิบายการโจมตีแบบ Brute-force ^{[ 4 ]}โดยมี 'anti-hammering' สำหรับมาตรการตอบโต้^{[ 5 ]}

แนวคิดพื้นฐาน

การโจมตีแบบ Brute-force ทำงานโดยการคำนวณชุดค่าผสมที่เป็นไปได้ทั้งหมดที่สามารถสร้างรหัสผ่านได้ และทดสอบเพื่อดูว่าเป็นรหัสผ่านที่ถูกต้องหรือไม่ ยิ่งความยาวของรหัสผ่านเพิ่มขึ้น เวลาโดยเฉลี่ยในการค้นหารหัสผ่านที่ถูกต้องก็จะเพิ่มขึ้นแบบทวีคูณ^{[ 6 ]}

ขีดจำกัดทางทฤษฎี

เครื่องถอดรหัส DESมูลค่า 250,000 ดอลลาร์สหรัฐของElectronic Frontier Foundationในปี 1998 ประกอบด้วยชิปแบบกำหนดเองกว่า 1,800 ชิ้น และสามารถถอดรหัส DES ด้วยวิธี Brute-force ได้ภายในเวลาไม่กี่วัน ภาพถ่ายแสดงแผงวงจร DES Cracker ที่ติดตั้งชิป Deep Crack จำนวน 64 ชิ้น โดยใช้ทั้งสองด้าน

ทรัพยากรที่จำเป็นสำหรับการโจมตีแบบเดาสุ่มจะเพิ่มขึ้นแบบทวีคูณตามขนาดของคีย์ ไม่ใช่แบบเชิงเส้น แม้ว่ากฎระเบียบการส่งออกของสหรัฐฯ ในอดีตจะจำกัดความยาวของคีย์ สมมาตรไว้ที่ 56 บิต(เช่นมาตรฐานการเข้ารหัสข้อมูล ) แต่ข้อจำกัดเหล่านี้ไม่มีผลบังคับใช้อีกต่อไป ดังนั้นอัลกอริทึมสมมาตรสมัยใหม่จึงมักใช้คีย์ที่มีความแข็งแกร่งทางด้านการคำนวณมากกว่า คือ 128 ถึง 256 บิต

มีข้อโต้แย้งทางกายภาพที่ว่าคีย์สมมาตร 128 บิตมีความปลอดภัยในการคำนวณต่อการโจมตีแบบเดาสุ่มขีดจำกัดของแลนเดาเออร์ที่กำหนดโดยกฎของฟิสิกส์ได้กำหนดขีดจำกัดล่างของพลังงานที่จำเป็นในการคำนวณ $kT \cdot ln 2$ ต่อบิตที่ถูกลบในการคำนวณ โดยที่Tคืออุณหภูมิของอุปกรณ์คำนวณในหน่วยเคลวิน k คือค่าคงที่ของโบลต์ซมันน์และลอการิทึมธรรมชาติของ 2 มีค่าประมาณ 0.693 (0.6931471805599453) ไม่มีอุปกรณ์คำนวณที่ไม่สามารถย้อนกลับได้ใด ๆ ที่สามารถใช้พลังงานน้อยกว่านี้ได้ แม้ในทางทฤษฎี^{[ 7 ]}ดังนั้น การพลิกค่าที่เป็นไปได้สำหรับคีย์สมมาตร 128 บิต (โดยไม่คำนึงถึงการคำนวณจริงเพื่อตรวจสอบ) ในทางทฤษฎีจะต้องใช้การพลิกบิต 2 ¹²⁸ − 1 บิตบนโปรเซสเซอร์ทั่วไป หากสมมติว่าการคำนวณเกิดขึ้นที่อุณหภูมิใกล้เคียงกับอุณหภูมิห้อง (≈300 K) สามารถใช้ขีดจำกัดของ Von Neumann-Landauer เพื่อประมาณพลังงานที่ต้องการได้ประมาณ ≈10¹⁸ ^จูลซึ่งเทียบเท่ากับการใช้พลังงาน 30 กิกะวัตต์เป็นเวลาหนึ่งปี นี่เท่ากับ 30×10⁹ ^{วัตต์} × 365 × 24 × 3600 วินาที = 9.46×10¹⁷ ^จูล หรือ 262.7 เทราวัตต์ชั่วโมง (ประมาณ 0.1% ของการผลิตพลังงานทั่วโลกต่อปี ) การคำนวณจริงทั้งหมด – การตรวจสอบแต่ละคีย์เพื่อดูว่าพบวิธีแก้ปัญหาแล้วหรือไม่ – จะใช้พลังงานมากกว่านี้หลายเท่า ยิ่งไปกว่านั้น นี่เป็นเพียงพลังงานที่ต้องการสำหรับการวนรอบพื้นที่คีย์เท่านั้น ยังไม่ได้พิจารณาเวลาจริงที่ใช้ในการเปลี่ยนบิตแต่ละบิต ซึ่งแน่นอนว่ามากกว่า 0 (ดูขีดจำกัดของ Bremermann )

อย่างไรก็ตาม ข้อโต้แย้งนี้ตั้งอยู่บนสมมติฐานว่าค่าในรีจิสเตอร์ถูกเปลี่ยนแปลงโดยใช้การดำเนินการตั้งค่าและล้างค่าแบบดั้งเดิม ซึ่งก่อให้เกิดเอนโทรปี อย่างหลีกเลี่ยงไม่ได้ มีการแสดงให้เห็นแล้วว่าฮาร์ดแวร์คอมพิวเตอร์สามารถออกแบบมาเพื่อไม่ให้พบกับอุปสรรคทางทฤษฎีนี้ได้ (ดูการคำนวณแบบย้อนกลับได้ ) แม้ว่าจะยังไม่มีคอมพิวเตอร์ใดที่ถูกสร้างขึ้นมาได้จริงก็ตาม

เนื่องจากโซลูชันASIC ของรัฐบาลที่พัฒนาต่อยอดในเชิงพาณิชย์เริ่มมีวางจำหน่ายแล้ว หรือที่รู้จักกันในชื่อ การโจมตีฮาร์ดแวร์แบบกำหนดเองเทคโนโลยีใหม่สองอย่างได้พิสูจน์ความสามารถในการโจมตีแบบ Brute-force ของรหัสลับบางอย่าง หนึ่งคือ เทคโนโลยี หน่วยประมวลผลกราฟิก (GPU) ที่ทันสมัย ^{[ 8 ]}อีกอย่างคือ เทคโนโลยี Field-Programmable Gate Array (FPGA) GPU ได้ประโยชน์จากความพร้อมใช้งานที่กว้างขวางและผลประโยชน์ด้านราคาและประสิทธิภาพ ในขณะที่ FPGA ได้ประโยชน์จากประสิทธิภาพด้านพลังงานต่อการดำเนินการเข้ารหัสลับ เทคโนโลยีทั้งสองพยายามนำประโยชน์ของการประมวลผลแบบขนานมาใช้กับการโจมตีแบบ Brute-force ในกรณีของ GPU มีหน่วยประมวลผลหลายร้อยหน่วย ในกรณีของ FPGA มีหน่วยประมวลผลหลายพันหน่วย ทำให้เหมาะสำหรับการถอดรหัสผ่านมากกว่าโปรเซสเซอร์ทั่วไป ตัวอย่างเช่น ในปี 2022 GPU Nvidia RTX 4090 จำนวน 8 ตัว ถูกเชื่อมต่อเข้าด้วยกันเพื่อทดสอบความแข็งแกร่งของรหัสผ่านโดยใช้ซอฟต์แวร์Hashcatโดยผลลัพธ์แสดงให้เห็นว่าสามารถวนรอบรหัสผ่านNTLM แปดตัวอักษรได้ 200 พันล้านชุดภายใน 48 นาที ^{[ 9 ]}^{[ 10 ]}

สิ่งพิมพ์ต่างๆ ในสาขาการวิเคราะห์การเข้ารหัสได้พิสูจน์ประสิทธิภาพการใช้พลังงานของเทคโนโลยี FPGA ในปัจจุบัน ตัวอย่างเช่น คอมพิวเตอร์คลัสเตอร์ FPGA COPACOBANA ใช้พลังงานเท่ากับพีซีเครื่องเดียว (600 วัตต์) แต่ทำงานได้เทียบเท่าพีซี 2,500 เครื่องสำหรับอัลกอริทึมบางอย่าง บริษัทหลายแห่งให้บริการโซลูชันการวิเคราะห์การเข้ารหัส FPGA ที่ใช้ฮาร์ดแวร์ ตั้งแต่การ์ด FPGA PCI Express เดียว ไปจนถึงคอมพิวเตอร์ FPGA โดยเฉพาะ การเข้ารหัส WPAและWPA2ได้รับการโจมตีแบบ Brute-force สำเร็จโดยการลดภาระงานลงถึง 50 เท่าเมื่อเทียบกับ CPU ทั่วไป^{[ 11 ]}^{[ 12 ]}และหลายร้อยเท่าในกรณีของ FPGA

มาตรฐานการเข้ารหัสขั้นสูง (AES) อนุญาตให้ใช้คีย์ 256 บิต การถอดรหัสคีย์สมมาตร 256 บิตด้วยวิธีเดาแบบสุ่มต้องใช้ พลังการคำนวณมากกว่าคีย์ 128 บิตถึง ^2,128เท่า ซูเปอร์คอมพิวเตอร์ที่เร็วที่สุดเครื่องหนึ่งในปี 2019 มีความเร็ว 100 เพตาฟลอปส์ซึ่งในทางทฤษฎีสามารถตรวจสอบคีย์ AES ได้ 100 ล้านล้าน ( ^10¹⁴ ) คีย์ต่อวินาที (โดยสมมติว่ามีการดำเนินการ 1,000 ครั้งต่อการตรวจสอบ) แต่ก็ยังต้องใช้เวลา 3.67 × 10⁵⁵ ^ปีจึงจะสามารถใช้พื้นที่คีย์ 256 บิตจนหมดได้^{[ 13 ]}

ข้อสมมติฐานพื้นฐานของการโจมตีแบบ Brute-force คือการใช้พื้นที่คีย์ทั้งหมดเพื่อสร้างคีย์ ซึ่งต้องอาศัยตัวสร้างเลขสุ่ม ที่มีประสิทธิภาพ และไม่มีข้อบกพร่องในอัลกอริทึมหรือการใช้งาน ตัวอย่างเช่น ระบบจำนวนหนึ่งที่เดิมคิดว่าไม่สามารถถอดรหัสได้ด้วยการโจมตีแบบ Brute-force กลับถูกถอดรหัสได้เนื่องจาก พบว่า พื้นที่คีย์ที่จะค้นหามีขนาดเล็กกว่าที่คิดไว้มาก เนื่องจากขาดเอนโทรปีในตัวสร้างเลขสุ่มเทียมซึ่งรวมถึง การใช้งาน Secure Sockets Layer (SSL) ของNetscape (ถูกถอดรหัสโดย Ian GoldbergและDavid Wagnerในปี 1995) และOpenSSLรุ่นDebian / Ubuntuที่ถูกค้นพบว่ามีข้อบกพร่องในปี 2008 ^[¹⁴^]^[¹⁵^]การขาดเอนโทรปีในการใช้งานที่คล้ายกันนี้ทำให้รหัสของ Enigma ถูกถอดรหัสได้ ^[¹⁶^]^[¹⁷^]

การรีไซเคิลข้อมูลประจำตัว

การรีไซเคิลข้อมูลประจำตัวเป็น วิธี การแฮ็กที่ใช้การนำชุดชื่อผู้ใช้และรหัสผ่านที่รวบรวมได้จากการโจมตีแบบ brute-force ก่อนหน้านี้มาใช้ซ้ำ รูปแบบพิเศษของการรีไซเคิลข้อมูลประจำตัวคือpass the hashซึ่ง ข้อมูลประจำตัวที่ถูกแฮช โดยไม่ใส่เกลือจะถูกขโมยและนำกลับมาใช้ใหม่โดยไม่ต้องทำการโจมตีแบบ brute-force ก่อน^{[ 18 ]}

รหัสที่ไม่สามารถถอดรหัสได้

การเข้ารหัสบางประเภท ด้วยคุณสมบัติทางคณิตศาสตร์ของมัน ไม่สามารถเอาชนะได้ด้วยการโจมตีแบบเดาสุ่ม ตัวอย่างเช่นการเข้ารหัสแบบใช้แพดครั้งเดียว ซึ่งบิต ข้อความธรรมดา ทุก บิตจะมีคีย์ที่สอดคล้องกันจากลำดับบิตคีย์แบบสุ่มอย่างแท้จริง สตริงที่เข้ารหัสแบบใช้แพดครั้งเดียว 140 ตัวอักษร หากถูกโจมตีแบบเดาสุ่ม ในที่สุดจะเปิดเผยสตริง 140 ตัวอักษรที่เป็นไปได้ทั้งหมด รวมถึงคำตอบที่ถูกต้องด้วย แต่จากคำตอบทั้งหมดที่ให้มา จะไม่มีทางรู้ได้เลยว่าคำตอบใดถูกต้อง การเอาชนะระบบดังกล่าว ดังเช่นที่โครงการ Venona ทำได้ นั้น โดยทั่วไปไม่ได้อาศัยการเข้ารหัสอย่างเดียว แต่อาศัยข้อผิดพลาดในการใช้งาน เช่น แป้นพิมพ์ไม่ได้เป็นแบบสุ่มอย่างแท้จริง แป้นพิมพ์ถูกดักฟัง หรือผู้ปฏิบัติงานทำผิดพลาด^{[ 19 ]}

มาตรการรับมือ

ในกรณีของ การโจมตี แบบออฟไลน์ที่ผู้โจมตีสามารถเข้าถึงข้อมูลที่เข้ารหัสได้ พวกเขาสามารถลองใช้ชุดคีย์ต่างๆ ได้โดยไม่ต้องเสี่ยงต่อการถูกค้นพบหรือถูกแทรกแซง ในกรณีของ การโจมตี แบบออนไลน์ผู้ดูแลระบบฐานข้อมูลและไดเร็กทอรีสามารถใช้มาตรการตอบโต้ เช่น การจำกัดจำนวนครั้งที่สามารถลองรหัสผ่านได้ การหน่วงเวลาระหว่างการลองแต่ละครั้ง การเพิ่มความซับซ้อนของคำตอบ (เช่น การกำหนดให้ ตอบ CAPTCHAหรือใช้การตรวจสอบสิทธิ์แบบหลายปัจจัย ) และ/หรือการล็อกบัญชีหลังจากพยายามเข้าสู่ระบบไม่สำเร็จ^{[ 20 ]}ผู้ดูแลระบบเว็บไซต์อาจป้องกันไม่ให้ที่อยู่ IP ใด IP หนึ่งลองรหัสผ่านเกินจำนวนครั้งที่กำหนดไว้ล่วงหน้ากับบัญชีใดๆ บนเว็บไซต์^{[ 21 ]}นอกจากนี้ เฟรมเวิร์ก MITRE D3FEND ยังให้คำแนะนำที่มีโครงสร้างสำหรับการป้องกันการโจมตีแบบ Brute-force โดยการใช้กลยุทธ์ต่างๆ เช่น การกรองการรับส่งข้อมูลเครือข่าย การใช้ข้อมูลประจำตัวล่อ และการทำให้แคชการตรวจสอบสิทธิ์ไม่ถูกต้อง^{[ 22 ]}

การโจมตีแบบบรูทฟอร์ซย้อนกลับ

ในการโจมตีแบบ brute-force ย้อนกลับ (เรียกอีกอย่างว่าการสุ่มรหัสผ่าน) จะมีการทดสอบรหัสผ่านเดียว (โดยปกติจะเป็นรหัสผ่านทั่วไป) กับชื่อผู้ใช้หรือไฟล์ที่เข้ารหัสหลายรายการ^{[ 23 ]}กระบวนการนี้อาจทำซ้ำสำหรับรหัสผ่านที่เลือกไว้เพียงไม่กี่รายการ ในกลยุทธ์ดังกล่าว ผู้โจมตีไม่ได้กำหนดเป้าหมายผู้ใช้เฉพาะราย

ดูเพิ่มเติม

หมายเหตุ

↑พาร์, เพลซล์ & พรีนีล 2010 , หน้า. 7.
^ Urbina, Ian (2014). "ชีวิตลับๆ ของรหัสผ่าน เดอะ นิว ไทมส์" เดอะ นิวยอร์ก ไทมส์
^ Schrittwieser, Sebastian; Katzenbeisser, Stefan (2011), "การปกปิดรหัสเพื่อป้องกันการวิศวกรรมย้อนกลับแบบคงที่และแบบไดนามิก" , การซ่อนข้อมูล , บันทึกการบรรยายในวิทยาศาสตร์คอมพิวเตอร์, เล่มที่ 6958, เบอร์ลิน, ไฮเดลเบิร์ก: Springer Berlin Heidelberg, หน้า 270–284 , doi : 10.1007/978-3-642-24178-9_19 , ISBN 978-3-642-24177-2สืบค้นข้อมูลเมื่อวันที่ 5 กันยายน 2021
^ "ปกป้องเว็บไซต์ของคุณจากการโจมตีแบบ Brute force โดยใช้ปลั๊กอิน Anti Hammering Authentication ของ Sebsoft #MoodlePlugins #MoodleSecurity" . elearnmagazine.com . e Learn Magazine. 16 มกราคม 2016 . สืบค้นเมื่อ27 ตุลาคม 2022 .
^ "กำหนดค่า Serv-U เพื่อป้องกันการโจมตีแบบ Brute Force" . solarwinds.com . Solar Winds . สืบค้นเมื่อ27 ตุลาคม 2022 .
^ "การโจมตีแบบ Brute Force: คำจำกัดความและตัวอย่าง" . www.kaspersky.com . 20 ตุลาคม 2020 . สืบค้นเมื่อ8 พฤศจิกายน 2020 .
↑ลันเดาเออร์ 1961 , หน้า 183–191.
^ เก รแฮม 2011
^ Rudisail, B. (17 พฤศจิกายน 2022). "การถอดรหัสผ่านด้วย GPU ประสิทธิภาพสูง: มีวิธีป้องกันหรือไม่?" . Spiceworks . สืบค้นเมื่อ24 ธันวาคม 2023 .
^ Pires, F. (18 ตุลาคม 2022). "การ์ดจอ RTX 4090 จำนวน 8 ตัว สามารถเจาะรหัสผ่านได้ภายในเวลาไม่ถึงชั่วโมง" . Future Publishing . สืบค้นเมื่อ25 ธันวาคม 2023 .
^คิงส์ลีย์-ฮิวส์ 2008
^ คาเมอ ร์ลิง 2007
^ "พฤศจิกายน 2019 | 500 อันดับเว็บไซต์ซูเปอร์คอมพิวเตอร์ชั้นนำ" . www.top500.org . เก็บถาวรจากต้นฉบับเมื่อวันที่ 19 พฤศจิกายน 2019 . เรียกดูเมื่อวันที่ 15 พฤษภาคม 2020 .
^ Viega, Messier & Chandra 2002 , หน้า 18.
^ CERT- 2008
^ เอลลิ ส 2005
^ NSA- 2009
^ "การโจมตีแบบ Pass-the-Hash (PtH) คืออะไร?" . BeyondTrust . 4 สิงหาคม 2023. เก็บถาวรจากต้นฉบับเมื่อ 15 พฤษภาคม 2024 . เรียกดูเมื่อ23 มิถุนายน 2024 .
^เรย์นาร์ด 1997 , หน้า 86.
^ Burnett & Foster 2004
^ Ristic 2010 , หน้า 136.
^ "การนำ MITRE D3FEND มาใช้กับเทคนิค ATT&CK T1110: การโจมตีแบบ Brute Force" . D3 Security . 25 สิงหาคม 2023 . สืบค้นเมื่อ19 มิถุนายน 2024 .
^ "InfoSecPro.com - ที่ปรึกษาด้านความปลอดภัยของคอมพิวเตอร์ เครือข่าย แอปพลิเคชัน และทางกายภาพ" . www.infosecpro.com . เก็บถาวรจากต้นฉบับเมื่อวันที่ 4 เมษายน 2560 . เรียกดูเมื่อวันที่ 8 พฤษภาคม 2561 .

ลิงก์ภายนอก

การแข่งขันถอดรหัส DES-III ที่ได้รับการสนับสนุนจาก RSA
การสาธิตอุปกรณ์โจมตีแบบเดาพาสเวิร์ด (brute-force)ที่ออกแบบมาเพื่อเดาพาสเวิร์ดของiPhone ที่ล็อกอยู่ ซึ่งใช้ ระบบปฏิบัติการ iOS 10 .3.3
วิธีที่เราถอดรหัสลับในหนังสือ The Code Book – บทความโดยทีมผู้ชนะการแข่งขันในหนังสือ The Code Book

[FOOTNOTEPaarPelzlPreneel20107-1] พาร์, เพลซล์ & พรีนีล 2010 , หน้า. 7.

[2] Urbina, Ian (2014). "ชีวิตลับๆ ของรหัสผ่าน เดอะ นิว ไทมส์" เดอะ นิวยอร์ก ไทมส์

[3] Schrittwieser, Sebastian; Katzenbeisser, Stefan (2011), "การปกปิดรหัสเพื่อป้องกันการวิศวกรรมย้อนกลับแบบคงที่และแบบไดนามิก" , การซ่อนข้อมูล , บันทึกการบรรยายในวิทยาศาสตร์คอมพิวเตอร์, เล่มที่ 6958, เบอร์ลิน, ไฮเดลเบิร์ก: Springer Berlin Heidelberg, หน้า 270–284 , doi : 10.1007/978-3-642-24178-9_19 , ISBN 978-3-642-24177-2สืบค้นข้อมูลเมื่อวันที่ 5 กันยายน 2021

[4] "ปกป้องเว็บไซต์ของคุณจากการโจมตีแบบ Brute force โดยใช้ปลั๊กอิน Anti Hammering Authentication ของ Sebsoft #MoodlePlugins #MoodleSecurity" . elearnmagazine.com . e Learn Magazine. 16 มกราคม 2016 . สืบค้นเมื่อ27 ตุลาคม 2022 .

[5] "กำหนดค่า Serv-U เพื่อป้องกันการโจมตีแบบ Brute Force" . solarwinds.com . Solar Winds . สืบค้นเมื่อ27 ตุลาคม 2022 .

[6] "การโจมตีแบบ Brute Force: คำจำกัดความและตัวอย่าง" . www.kaspersky.com . 20 ตุลาคม 2020 . สืบค้นเมื่อ8 พฤศจิกายน 2020 .

[FOOTNOTELandauer1961183–191-7] ลันเดาเออร์ 1961 , หน้า 183–191.

[FOOTNOTEGraham2011-8] เก รแฮม 2011

[BFA_2-9] Rudisail, B. (17 พฤศจิกายน 2022). "การถอดรหัสผ่านด้วย GPU ประสิทธิภาพสูง: มีวิธีป้องกันหรือไม่?" . Spiceworks . สืบค้นเมื่อ24 ธันวาคม 2023 .

[BFA_3-10] Pires, F. (18 ตุลาคม 2022). "การ์ดจอ RTX 4090 จำนวน 8 ตัว สามารถเจาะรหัสผ่านได้ภายในเวลาไม่ถึงชั่วโมง" . Future Publishing . สืบค้นเมื่อ25 ธันวาคม 2023 .

[FOOTNOTEKingsley-Hughes2008-11] คิงส์ลีย์-ฮิวส์ 2008

[FOOTNOTEKamerling2007-12] คาเมอ ร์ลิง 2007

[13] "พฤศจิกายน 2019 | 500 อันดับเว็บไซต์ซูเปอร์คอมพิวเตอร์ชั้นนำ" . www.top500.org . เก็บถาวรจากต้นฉบับเมื่อวันที่ 19 พฤศจิกายน 2019 . เรียกดูเมื่อวันที่ 15 พฤษภาคม 2020 .

[FOOTNOTEViegaMessierChandra200218-14] Viega, Messier & Chandra 2002 , หน้า 18.

[FOOTNOTECERT-2008-15] CERT- 2008

[FOOTNOTEEllis2005-16] เอลลิ ส 2005

[FOOTNOTENSA-2009-17] NSA- 2009

[n580-18] "การโจมตีแบบ Pass-the-Hash (PtH) คืออะไร?" . BeyondTrust . 4 สิงหาคม 2023. เก็บถาวรจากต้นฉบับเมื่อ 15 พฤษภาคม 2024 . เรียกดูเมื่อ23 มิถุนายน 2024 .

[FOOTNOTEReynard199786-19] เรย์นาร์ด 1997 , หน้า 86.

[FOOTNOTEBurnettFoster2004-20] Burnett & Foster 2004

[FOOTNOTERistic2010136-21] Ristic 2010 , หน้า 136.

[22] "การนำ MITRE D3FEND มาใช้กับเทคนิค ATT&CK T1110: การโจมตีแบบ Brute Force" . D3 Security . 25 สิงหาคม 2023 . สืบค้นเมื่อ19 มิถุนายน 2024 .

[23] "InfoSecPro.com - ที่ปรึกษาด้านความปลอดภัยของคอมพิวเตอร์ เครือข่าย แอปพลิเคชัน และทางกายภาพ" . www.infosecpro.com . เก็บถาวรจากต้นฉบับเมื่อวันที่ 4 เมษายน 2560 . เรียกดูเมื่อวันที่ 8 พฤษภาคม 2561 .

1 ] อย่างไรก็ตาม

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[

[

[

[

[ 18 ]

[ 19 ]

[ 20 ]

[ 21 ]

[ 22 ]

[ 23 ]