Onların sevimli adını aldatmasın, bunlar qorxunc.
Rainbow Cədvəllərini eklektik rəngli mebel kimi düşünsən də, biz müzakirə edəcəyik. Sözügedən Rainbow Masaları şifrələri çatdırmaq üçün istifadə olunur və hackerın artan arsenalında başqa bir vasitədir.
Gökkuşağı masaları nədir? Belə bir sevimli və cuddly adı ilə bir şey nə qədər zərərli ola bilər?
Gökkuşağı masalarının arxasında əsas konsepsiya
Mən sadəcə bir server və ya iş istifadəsinə bir baş barmaq sürücüsünü takmış, onu yenidən açmış və mənim başparmağımdakı istifadəçi adları və parolları olan təhlükəsizlik məlumat bazası faylını kopyalayan bir proqramı yayınlayan pis bir adamam.
Dosyadaki şifreler şifrelenir, belə ki onları okuyamıyorum. Sistemə daxil olmaq üçün istifadə edə biləcəyim üçün faylda parolları (ya da ən azı administrator parolunu) çatdırmaq məcburiyyətindəyəm.
Şifrələrin çatdırılma variantları hansılardır? Şifrənin hər hansı bir kombinasiyasını təkrarlamaq üçün çalışırıq, parol faylında uzaqlaşan John Ripper kimi qüsursuz bir parol qırıcı proqramı cəhd edə və istifadə edə bilərəm. İkinci seçim, yüz minlərlə istifadə edilən şifrəni ehtiva edən bir parol çatışmazlığı lüğətini yükləmək və hər hansı bir xitə olub olmadığını görməkdir. Parolalar kifayət qədər güclü olduqda bu üsullar həftə, ay və ya hətta il ola bilər.
Bir parol bir sistemə qarşı "sınaqdan keçirildikdə, şifrəni istifadə edərək," şifrəni "istifadə edir, belə ki, əsl şifrə heç bir kommunikasiya xəttində aydın mətndə göndərilmir. Bu, səslənənlərin parolun kəsilməsinə mane olur. Şifrənin haşqası ümumiyyətlə bir çox çöp kimi görünür və adətən, orijinal paroldan fərqli bir uzunluqdadır. Şifrəniz "shitzu" ola bilər, ancaq şifrənizin hashi "7378347eedbfdd761619451949225ec1" kimi bir şeyə bənzəyir.
Bir istifadəçi yoxlamaq üçün bir sistem müştəri kompüterində parol yığma funksiyası yaratdığı hash dəyərini alır və serverdə bir masada saxlanılan hash dəyərinə müqayisə edir. Xəmirlər uyğunlaşdıqda, istifadəçi təsdiqlənir və icazə verilir.
Şifrəni hashing 1-yol funksiyasıdır, yəni parolun dəqiq mətninin nə olduğunu görmək üçün karma şifrəsini aça bilməyəcəksiniz. Yaradılan dəfə hash şifrəsini açmaq üçün heç bir əsas yoxdur. İstəsəniz heç bir "decoder ring" yoxdur.
Şifrə çatlama proqramları giriş prosesinə oxşar şəkildə işləyir. Krekinq proqramı MD5 kimi bir hash alqoritmindən istifadə edərək, düz mətn parollarını alaraq başlayır və sonra hash çıxışını oğurlanmış parol faylında xeyli ilə müqayisə edir. Bir matç tapsa, proqram şifrəni qırdı. Daha əvvəl dediyimiz kimi, bu proses çox uzun müddətə gələ bilər.
Rainbow masalarına daxil olun
Gökkuşağı masaları, əsasən, ehtiyatlı mətn şifrələrinə əvvəlcədən uyğun olan hash dəyərləri ilə dolu precomputed masaların böyük dəstləridir. Gökkuşağı Cədvəlləri əslində hackerların düz metin parolunun nə olacağını müəyyən etmək üçün hashing funksiyasını geri almalarına imkan verir. İki fərqli parol eyni xaş ilə nəticələnə bilməsi üçün mümkündür, belə ki, əsl şifrənin nə olduğunu müəyyən etmək vacib deyil, eyni haşım olduğu müddətdə. Düz metin parol, istifadəçi tərəfindən yaradılmış eyni parol ola bilməz, lakin hash eşleştiği sürece orijinal parolun ne olduğu önemli deyil.
Rainbow Cədvəllərin istifadəsi parol-güc metodları ilə müqayisədə şifrələrin çox qısa müddətdə çatdırılmasına imkan yaradır, lakin, ticarət-off, Rainbow Tables-ın özlərini saxlaya bilməsi üçün bir çox saxlama (bəzən Terabayt) Saxlama bu gün bol və ucuz, belə ki, bu ticarət-on bir on il bundan əvvəl olduğu kimi, terabyte sürücüləri yerli Best Buy-də ala biləcək bir şey olmadığı kimi böyük bir saziş deyil.
Hackerlar, Windows XP, Vista, Windows 7 və MD5 və SHA1 istifadə edərək, parol hashing mexanizmi (bir çox web tətbiq developers hələ də bu hashing alqoritmlərindən istifadə) kimi zəif əməliyyat sistemləri parollarını qırmaq üçün prekompüterli Rainbow Masaları satın ala bilərlər.
Rainbow masalarına əsaslanan şifrə hücumlarına qarşı necə qorunmaq olar?
Hər kəs üçün daha yaxşı məsləhətlər olmasını diləyirik. Daha güclü bir şifrə kömək edəcəyini söyləmək istərdik, amma bu həqiqətən doğru deyil, çünki bu parolun zəifliyi deyil, parol şifrelemek üçün istifadə olunan hashing funksiyası ilə əlaqəli zəiflikdir.
İstifadəçilərə verə biləcəyimiz ən yaxşı məsləhət, parol uzunluğunu simvolların qısa bir sayına məhdudlaşdıran web tətbiqlərindən uzaq durmaqdır. Bu, zəif köhnə məktəb parol identifikasiyası qaydalarının aydın bir əlamətidir. Genişləndirilmiş parol uzunluğu və mürəkkəbliyi bir az kömək edə bilər, lakin qorunan bir müdafiə forması deyildir. Şifrəniz nə qədər uzun olsa, Rainbow Tables daha böyük olacaq, lakin bir çox qaynaqlı bir hacker bunu hələ də yerinə yetirə bilər.
Rainbow Cədvəllərə qarşı necə müdafiə etmək məsləhətlərimiz, proqram inkişaf etdiriciləri və sistem administratorları üçün nəzərdə tutulmuşdur. Bu cür hücumlara qarşı istifadəçiləri qorumaq üçün gəldikdə ön xəttlər üzərindədirlər.
Rainbow Cədvəl hücumlarına qarşı müdafiə üzrə bir neçə geliştirici məsləhətləri:
- Şifrənizi hashing funksiyasında MD5 və ya SHA1 istifadə etməyin. MD5 və SHA1 köhnəlmiş şifrəni hashing alqoritmləri və şifreleri çatdırmaq üçün istifadə olunan ən göy qurşağı masaları bu hashing metodlarını istifadə edərək tətbiq və sistemləri hədəfləmək üçün qurulmuşdur. SHA2 kimi daha müasir hashing üsullarından istifadə etməyi düşünün.
- Şifrənizi hashing rutin bir kriptoqrafik "Duz" istifadə edin. Parolanıza hashing funksiyasına kriptoqrafik Duz əlavə edərək tətbiqinizdə şifrələri çatdırmaq üçün istifadə olunan Rainbow Cədvəllərindən qorunmağa kömək edəcəkdir. "Rainbow-Proof" -a kömək etmək üçün bir kriptoqrafik duzun necə istifadə ediləcəyinə dair bəzi kodlama nümunələrini görmək üçün müraciətinizlə WebMasters By Design saytına baxın.
Hackerlar Rainbow Tables istifadə edərək bir parol hücumu necə yerinə yetirmək istəsəniz, öz parollarını bərpa etmək üçün bu üsullardan necə istifadə edilməsi haqqında bu əla məqaləni oxuya bilərsiniz.