Не дазваляйце іх сімпотнае назва ўводзіць вас у зман, гэтыя рэчы страшна.
У той час як вы маглі б падумаць аб Rainbow Табліцы як эклектычная маляўнічая мэбля, гэта не тыя, каго мы будзем абмяркоўваць. Табліцы вясёлкі , што мы гаворым пра выкарыстоўваюцца для ўзлому пароляў і яшчэ адзін інструмент у хакера пастаянна расце арсенал.
Што клямка Вясёлкавыя табліцы? Як можа нешта з такім мілым і ўтульным імем так шкодна?
Асноўная канцэпцыя Rainbow Табліцы
Я дрэнны хлопец, які проста падключыць флэш-назапашвальнік у сервер або працоўную станцыю, перазагрузіў яго, і пабег праграму, якая капіюе файл базы дадзеных абароны, якія змяшчаюць імёны карыстальнікаў і паролі да майго брелок.
Паролі ў файле зашыфраваны, таму я не магу чытаць іх. Я павінен зламаць паролі ў файле (ці, прынамсі, пароль адміністратара), так што я магу выкарыстоўваць іх для доступу да сістэмы.
Якія варыянты для ўзлому пароляў? Я магу паспрабаваць выкарыстоўваць перабор праграму для ўзлому пароляў , такіх як Джон Патрашыцеля, які фунты прэч ў файле паролі, спрабуючы итеративно адгадаць ўсе магчымыя камбінацыі пароля. Другі варыянт заключаецца ў загрузцы слоўніка для ўзлому пароляў, якія змяшчаюць сотні тысяч найбольш часта выкарыстоўваюцца пароляў і паглядзець, калі ён атрымлівае любыя ўдары. Гэтыя метады могуць заняць некалькі тыдняў, месяцаў ці нават гадоў, калі паролі дастаткова моцныя.
Калі пароль «спрабаваў» супраць сістэмы , яна «хэшаваныя» з дапамогай шыфравання , так што фактычны пароль ніколі не перадаюцца ў незашыфраваным выглядзе праз лінію сувязі. Гэта прадухіляе перахопнікі ад перахопу пароля. Хэш пароля, як правіла, выглядае як куча смецця і, як правіла, розная даўжыня, чым зыходны пароль. Ваш пароль можа быць «Shitzu», але хэш пароля будзе выглядаць як «7378347eedbfdd761619451949225ec1».
Для праверкі карыстальніка, сістэма прымае значэнне хэша, створанае з дапамогай функцыі хэшавання пароля на кліенцкім кампутары і параўноўвае яго са значэннем хэша захоўваецца ў табліцы на серверы. Калі хэшы супадаюць, то карыстач праходзіць аўтэнтыфікацыю і атрымлівае доступ.
Хэшавання пароля з'яўляецца функцыяй 1-палоснай, а гэта азначае, што вы не можаце расшыфраваць хэш, каб убачыць, што ясны тэкст пароля. Там няма ключа для расшыфроўкі хэша, як толькі ён будзе створаны. Там няма «дэкодэра кольцы», калі вы будзеце.
праграмы ўзлому пароляў працуюць аналагічным чынам у працэсе рэгістрацыі. Праграма ўзлому пачынаецца з адкрытым тэкстам пароляў, запускаючы іх праз хэш-алгарытм, такія як MD5, а затым параўноўвае выхадны хэш з хэш ў выкрадзеным файле пароляў. Калі ён знаходзіць супадзенне, то праграма узламала пароль. Як мы ўжо казалі раней, гэты працэс можа заняць вельмі шмат часу.
Увядзіце Вясёлкавыя табліцы
Вясёлкавыя табліцы ў асноўным вялізныя наборы папярэдне вылічаных табліц, запоўненых хэш-значэння, якія папярэдне падабраных магчымых паролі адкрытага тэксту. Табліцы вясёлкі ў асноўным дазваляюць хакерам рэверсу функцыі хэшавання, каб вызначыць, што можа быць тэкставы пароль. Гэта магчыма для двух розных пароляў у выніку таго ж хэш, так што гэта не важна, каб высветліць, што быў першапачатковы пароль, толькі да таго часу, як ён мае той жа хэш. Тэкставы пароль не можа быць нават той жа пароль, які быў створаны карыстальнікам, але пры ўмове, што хэш адпавядае, то гэта не мае значэння, што быў першапачатковы пароль.
Выкарыстанне Rainbow Табліцы дазваляе паролі узламваюцца вельмі кароткі прамежак часу ў параўнанні з метадамі грубай сілы, аднак, кампраміс у тым, што яна займае шмат памяці (часам тэрабайт) трымаць перад сабой вясёлкавымі табліцамі, захоўванне ў гэтыя дні шмат і танна, таму гэты кампраміс не такі вялікі здзелкі, як гэта было дзесяць гадоў таму, калі тэрабайт дыскі не былі чымсьці, што вы маглі б забраць у мясцовым Best Buy.
Хакеры могуць набыць предвычисленные Вясёлкавыя табліцы для ўзлому пароляў уразлівых аперацыйныя сістэм , такіх як Windows XP, Vista, Windows 7 і прыкладанняў з выкарыстаннем MD5 і SHA1 ў якасці механізму хэшавання пароля (многія распрацоўшчыкі вэб - прыкладанняў да гэтага часу выкарыстоўваюць гэтыя алгарытмы хэшавання).
Як абараніць сябе ад вясёлкавай табліц заснаваных пароляў Атакуючы
Мы хочам былі лепш савет па гэтым адзін для ўсіх. Мы хацелі б сказаць , што мацней пароль дапаможа, але гэта не зусім дакладна , таму што гэта не слабасць паролю праблема, гэта слабасць , звязаная з функцыяй хэшавання выкарыстоўваецца для шыфравання пароля.
Самы лепшы савет, які мы можам даць карыстальнікам трымацца далей ад вэб-прыкладанняў, якія абмяжоўваюць вашу даўжыню пароля на кароткі нумар знакаў. Гэта відавочная прыкмета ўразлівай старой школы працэдуры аўтэнтыфікацыі пароля. Пашыраная даўжыня пароля і складанасць можа крыху дапамагчы, але не гарантуецца форма абароны. Чым даўжэй пароль, тым больш Вясёлкавыя табліцы павінны быць ўзламаць, але хакер з вялікай колькасцю рэсурсаў, усё яшчэ можа зрабіць гэта.
Наш савет аб тым, як абараніцца ад Rainbow Табліцы сапраўды прызначаны для распрацоўшчыкаў дадаткаў і сістэмных адміністратараў. Яны знаходзяцца на лініі фронту, калі гаворка ідзе пра абарону карыстальнікаў ад нападаў такога тыпу.
Вось некалькі саветаў для распрацоўшчыкаў па абароне ад нападаў Табліцы Вясёлкі:
- Не выкарыстоўвайце MD5 або SHA1 ў функцыі хэшавання пароля. MD5 і SHA1 з'яўляюцца састарэлыя алгарытмы хэшавання пароляў і большасць табліц вясёлкі, якія выкарыстоўваюцца для ўзлому пароляў створаны для мэтавых прыкладанняў і сістэм, якія выкарыстоўваюць гэтыя метады хэшавання. Разгледзіце магчымасць выкарыстання больш сучасных метадаў хэшавання, як УВХ2.
- Выкарыстоўвайце крыптаграфічную «Соль» у руціне хэшавання пароля. Даданне крыптаграфічнай солі да пароля функцыі хэшавання дапаможа абараніцца ад выкарыстання вясёлкавых табліц, якія выкарыстоўваюцца для ўзлому пароляў у дадатку. Для таго, каб убачыць некаторыя прыклады кадавання, як выкарыстоўваць крыптаграфічную соль, каб дапамагчы «Вясёлка-Proof» ваша прыкладанне, калі ласка, правер вэбмайстар Па дызайне сайта, які мае вялікі артыкул на гэтую тэму.
Калі вы хочаце ўбачыць , як хакеры выканаць пароль атакі з выкарыстаннем Вясёлкавыя табліцы, вы можаце прачытаць гэтую выдатную артыкул пра тое , як выкарыстоўваць гэтыя метады , каб аднавіць свае паролі.