Rainbow მაგიდები: შენი პაროლი ყველაზე ცუდი Nightmare

ნუ მათ cute სახელი გააცრუვონ თქვენ, ეს ყველაფერი საშინელი.

მიუხედავად იმისა, რომ თქვენ შეიძლება იფიქროთ Rainbow Tables როგორც ეკლექტიკური ფერადი ავეჯი, ეს არ არის ის, ვინც ჩვენ ვაპირებთ განიხილოს. Rainbow მაგიდები, რომ ჩვენ ვსაუბრობთ გამოიყენება crack პაროლები და კიდევ ერთი ინსტრუმენტი ჰაკერების ის ოდესმე მზარდი არსენალი.

რა კერძია Rainbow Tables? როგორ შეიძლება რაღაც ასეთი cute და cuddly სახელი იმდენად მავნე?

ძირითადი კონცეფცია Rainbow მაგიდებზე

მე ვარ ცუდი ბიჭი, რომელიც მხოლოდ plugged thumb დისკის შევიდა სერვერზე ან Workstation, rebooted მას, და გაიქცა პროგრამა, რომელიც ასლებს უსაფრთხოების მონაცემთა ფაილი შემცველი მომხმარებლის სახელები და პაროლები ჩემს thumb დრაივი.

პაროლები ფაილში დაშიფრულია და ვერ ვკითხულობ მათ. მე უნდა გატეხილი პაროლის ფაილი (ან მინიმუმ ადმინისტრატორის პაროლი) ისე, რომ მათ შეუძლიათ გამოვიყენო ისინი წვდომის სისტემა.

რა არის პარამეტრები cracking პაროლები? შემიძლია ვცდილობ და გამოვიყენო სასტიკი ძალა პაროლის გაწყვეტის პროგრამა, როგორიცაა ჯონ Ripper, რომელიც ფუნტი მოშორებით დაგავიწყდათ ფაილი, ცდილობს იგი გამოიცნოს ყველა შესაძლო კომბინაცია დაგავიწყდათ. მეორე ვარიანტია ჩატვირთვისას პაროლი cracking ლექსიკონის შემცველი ასობით ათასი საყოველთაოდ გამოყენებული პაროლები და თუ იგი იღებს ნებისმიერი ჰიტები. ეს მეთოდები შეიძლება კვირაში, თვეში, ან თუნდაც წლების განმავლობაში თუ პაროლები ძლიერია.

როდესაც პაროლი "სცადეს" სისტემაში, ეს არის "ჰედერი" დაშიფვრის გამოყენებით ისე, რომ ფაქტობრივი პაროლი არასწორად გაგზავნილია კომუნიკაციის ხაზის გასწვრივ. ეს ხელს უშლის eavesdroppers საწყისი დაგავიწყდათ intercepting. პაროლი hash ჩვეულებრივ ჰგავს bunch of ნაგავი და, როგორც წესი, სხვადასხვა სიგრძის, ვიდრე ორიგინალური დაგავიწყდათ. თქვენი პაროლი შეიძლება იყოს "shitzu", მაგრამ თქვენი პაროლი hash იქნება რაღაც "7378347eedbfdd761619451949225ec1".

მომხმარებლის შესამოწმებლად, სისტემა იღებს ჰაბს ღირებულებას, რომელიც შექმნილია კლიენტის კომპიუტერზე, ჰეშინგის ფუნქციით და შეედრება სერვერზე მაგიდაზე შენახული ჰეშის ღირებულებას. თუ ჰეშები ემთხვევა, მაშინ მომხმარებელი დამოწმებულია და წვდომას ანიჭებს.

Hashing პაროლი არის 1 გზა ფუნქცია, რაც იმას ნიშნავს, რომ თქვენ ვერ decrypt hash რა წმინდა ტექსტი არის. არ არის გასაღების გაშიფვრის შემდეგ გასაღები. არ არსებობს "დეკოდერის ბეჭედი", თუ გნებავთ.

პაროლი cracking პროგრამები მუშაობს მსგავსი გზა შესვლა პროცესი. Cracking პროგრამა იწყება აღების plaintext პაროლები, გაშვებული მათ მეშვეობით hash ალგორითმი, როგორიცაა MD5, და შემდეგ ადარებს hash გამომავალი ერთად hashes მოპარული დაგავიწყდათ ფაილი. თუ მატჩი პოულობს, მაშინ პროგრამა ჩაიშალა პაროლით. როგორც უკვე აღვნიშნეთ, ეს პროცესი ძალიან დიდი ხნის განმავლობაში შეიძლება.

შეიყვანეთ Rainbow მაგიდები

Rainbow Tables ძირითადად დიდი კომპლექტი წინასწარგანსაზღვრული მაგიდები ივსება hash ღირებულებები, რომლებიც წინასწარ შეესაბამება შესაძლო plaintext პაროლები. Rainbow Tables არსებითად საშუალებას ჰაკერების გადახედოს hashing ფუნქცია, რათა დადგინდეს, თუ რა plaintext პაროლი შეიძლება იყოს. შესაძლებელია ორი განსხვავებული პაროლისთვის, რათა გამოიწვიოთ იგივე hash იმდენად, რომ არ არის მნიშვნელოვანი იმის გასარკვევად, თუ რა ორიგინალური პაროლი იყო, ისევე, როგორც მას აქვს იგივე hash. Plaintext პაროლი შეიძლება არ იყოს იგივე პაროლი, რომელიც შეიქმნა მომხმარებლის მიერ, მაგრამ სანამ hash შეესაბამება, მაშინ არ აქვს მნიშვნელობა, რა ორიგინალური პაროლი იყო.

Rainbow Tables- ის გამოყენება პაროლებისთვის ძალიან მოკლე დროის მანძილზე დაბლოკილია სასტიკი ძალის მეთოდით შედარებით, თუმცა ვაჭრობა ის არის, რომ იგი იღებს დიდ შენახვას (ზოგჯერ Terabytes) შენახვის ამ დღეებში არის უხვი და იაფი ასე რომ ვაჭრობის off არ არის ისეთი დიდი გარიგება, როგორც ეს იყო ათწლეულის წინ, როდესაც terabyte დისკები არ იყო რაღაც, რომ თქვენ შეიძლება შეარჩიო ადგილობრივი საუკეთესო ყიდვა.

ჰაკერებმა შეძლებენ წინასწარ დაგეგმილ Rainbow Tables- ს მოწყვლად ოპერაციულ სისტემებს, როგორიცაა Windows XP, Vista, Windows 7 და MD5 და SHA1- ის პაროლის დამუშავების მექანიზმი (ბევრი ვებ აპლიკაციის დეველოპერები კვლავ იყენებენ ამ ჰოშინგის ალგორითებს).

როგორ დავიცვათ თავი Rainbow მაგიდები დაფუძნებული პაროლი თავდასხმები

ჩვენ გვინდა, რომ ყველასთვის უკეთესი რჩევა ჰქონოდა. ჩვენ გვინდა ვთქვათ, რომ ძლიერი პაროლი ხელს შეუწყობს, მაგრამ ეს მართლაც ასეა, რადგან ეს არ არის სისუსტის პაროლი, რომელიც არის პრობლემა, ეს არის სისუსტე დაკავშირებული hashing ფუნქცია გამოიყენება encrypt დაგავიწყდათ.

საუკეთესო რჩევები ჩვენ შეგვიძლია მივცეთ მომხმარებლებს ვებ-აპლიკაციებისაგან, რომლებიც ზღუდავენ თქვენი პაროლის სიგრძე სიმბოლოების მოკლე რაოდენობას. ეს არის აშკარა ნიშანი მოწყვლადი ძველი სკოლა დაგავიწყდათ ავტორიზაციის routines. გაფართოებული პაროლი სიგრძე და სირთულე შეიძლება დაეხმაროს ცოტა, მაგრამ არ არის დაცული გარანტირებული ფორმა. აღარ არის თქვენი პაროლი, უფრო დიდი Rainbow მაგიდები უნდა იყოს ბზარი, მაგრამ ჰაკერი ბევრი რესურსების მაინც შეასრულოს ეს.

ჩვენი რჩევები, თუ როგორ უნდა დაიცვას Rainbow Tables მართლაც ნიშნავდა განაცხადის დეველოპერები და სისტემის ადმინისტრატორები. ისინი წინა ხაზზე არიან, როდესაც საქმე ეხება ამ ტიპის თავდასხმისგან დაცვის წევრებს.

აქ არის რამოდენიმე დეველოპერი რჩევები წინააღმდეგ თავდაცვის Rainbow მაგიდა თავდასხმები:

  1. არ გამოიყენოთ MD5 ან SHA1 თქვენს პაროლის დამუშავების ფუნქციაში. MD5 და SHA1 მოძველებულია პაროლით დამონტაჟებული ალგორითმებით და ყველაზე ცისარტყელას მაგიდები, რომლებიც გამოიყენება პაროლების გატეხვისთვის, რომლებიც მიზნად ისახავს ამ მიზნის მისაღწევად გამოყენებულ პროგრამებსა და სისტემებს. განიხილეთ მეტი თანამედროვე ჰოშინგი მეთოდები, როგორიცაა SHA2.
  2. გამოიყენეთ კრიპტოგრაფიული "მარილი" თქვენს პაროლში ჰეჩინგის რუტინულ რეჟიმში. კრიპტოგრაფიული მარილის დამატება თქვენი პაროლის დამუშავების ფუნქციასთან ერთად დაგეხმარებათ დაიცვას Rainbow Tables- ის გამოყენება თქვენს პაროლის გამოყენებისას. ზოგიერთი კოდირების მაგალითები თუ როგორ გამოიყენოთ კრიპტოგრაფიული მარილი, რათა დაეხმაროს "Rainbow-Proof" თქვენს აპლიკაციას, შეამოწმეთ ვებმასტერების მიერ დიზაინი საიტი, რომელსაც აქვს დიდი სტატია თემაზე.

თუ გინდათ, რომ ჰაკერები შეასრულონ პაროლის შეტევის გამოყენებით Rainbow Tables, შეგიძლიათ წაიკითხოთ ეს შესანიშნავი სტატია იმაზე, თუ როგორ გამოიყენოთ ეს ტექნიკა თქვენს პაროლებზე.