Ärge laske nende armas nimi tuua, need asjad on hirmutavad.
Kuigi võite Rainbowi tabelitest eklektiliselt värvitu mööbli mõelda, pole need need, millest me arutleme. Vikerkaaritabelid, millest me räägime, on paroolide purustamiseks ja on veel üks häkkerite üha kasvavam arsenal.
Mida kuradit on Rainbowi tabelid? Kuidas võiks selline armas ja rõõmsameelne nimi olla nii kahjulik?
Põhiline kontseptsioon vihmaveestiku tabelite taga
Ma olen paha, kes on äsja ühendanud pöidla draivi serverisse või tööjaama, käivitanud selle uuesti ja käivitas programmi, mis kopeerib minu pöidla draivi kasutavate nimesid ja paroole sisaldavat julgeolekandmebaasi faili.
Faili paroolid krüpteeritakse, nii et ma ei saa neid lugeda. Ma pean faili paroole (või vähemalt administraatori parooli) purustama, et saaksin neid süsteemi kasutada.
Millised on paroolide lõhenemise võimalused? Ma võin proovida ja kasutada rütmipiltide parooli lõhenemist, näiteks John the Ripperit, mis naitab paroolifaili, püüdes korduvalt arvata parooli kõiki võimalikke kombinatsioone. Teine võimalus on laadida salasõnade krakkimise sõnastik, mis sisaldab sadu tuhandeid üldkasutatavaid paroole ja näitab, kas see tabamust saab. Need parameetrid võivad võtta nädala, kuu või isegi aastaid, kui paroolid on piisavalt tugevad.
Kui parool on süsteemi vastu "proovitud", krüpteeritakse seda krüpteeritud viisil, nii et tegelikku salasõna ei saadeta kunagi sideliinil selgesõnaliselt. See takistab salajastel kasutajatel salasõna katkestamist. Salasõna räs näeb tavaliselt välja hulga prügi ja on tavaliselt teistsuguse pikkusega kui algne parool. Teie parool võib olla "shitzu", kuid teie parooli räs näeks välja midagi "7378347eedbfdd761619451949225ec1".
Kasutaja kinnitamiseks võtab süsteem kliendi arvutis paroolimisheringu funktsiooniga loodud räsi väärtuse ja võrdleb seda serveris olevas tabelis salvestatud räsi väärtusega. Kui räsud sobituvad, siis on kasutaja autentimine ja antud juurdepääs.
Parooli häkkimine on ühe suuna funktsioon, mis tähendab, et ei saa räsi lahti krüptida, et näha, milline on parooli selge tekst. Rashi dekrüptimise pärast seda ei ole loodud. Kui soovite, ei ole "dekooderõngaid".
Paroolikaitseprogrammid töötavad samamoodi nagu sisselogimisprotsess. Lõikekava algab tavaliste tekstide paroolide vastuvõtmisega, räsisega algoritmi, näiteks MD5-ga, käivitamiseks ja seejärel võrdleb räsiväljundit varastatud paroolifailis olevate räsistega. Kui see leiab mängu, on programm selle parooliga krakitud. Nagu varem mainisime, võib see protsess kesta kaua aega.
Sisestage Rainbow tabelid
Rainbowi tabelid on põhimõtteliselt tohutu hulga eelnevalt koostatud tabelid, mis on täidetud räsi väärtustega, mis on eelinstallitud võimalikele tavalistele teksandparoolidele. Rainbow tabelid võimaldavad häkkeritel muuta hehingi funktsiooni tagasisuunas, et määrata kindlaks, milline võiks olla tavaline tekstikaarne parool. Võimalik, et kaks erinevat parooli tulemuseks on sama räsi, seega pole oluline teada, mis oli algne parool, nii kaua, kuni sellel on sama räsi. Lihtteksti parool ei pruugi olla sama parool, mille kasutaja on loonud, kuid seni, kuni räsi on sobitatud, siis pole tähtsust, mis oli algne parool.
Rainbowi tabelite kasutamine võimaldab paroole koormata väga lühikese aja jooksul praeguste jõuga meetoditega, kuid kompromiss on see, et see võtab palju ladustamist (mõnikord terabaitides), et hoida ise Rainbow tabelid, Nendel päevadel ladustamine on küllaldane ja odav, nii et see kompromiss ei ole nii suur tehing, nagu see oli kümme aastat tagasi, kui terabaidi kettad ei olnud midagi, mida saaksite kohalikus Best Buy'is korjata.
Häkkerid võivad osta parema hõivamise mehhanismi (paljud veebirakenduse arendajad kasutavad neid räsimisalgoritme), et hankida eelkvaliteetseid Rainbowi tabeleid haavatavate operatsioonisüsteemide nagu Windows XP, Vista, Windows 7 ja MD5 ja SHA1 paroolide koputamiseks.
Kuidas kaitsta end vikerkaarilaudade baasil põhinevate paroolirektsioonide vastu
Soovime, et kõigil oleks selle kohta parem nõu. Tahaksime öelda, et tugevam salasõna aitaks, kuid see pole tõesti õige, sest see ei ole parooli nõrkus, mis on probleem, vaid see on nõrkus, mis on seotud parooliga krüptimiseks kasutatava hapnemisfunktsiooniga.
Parim nõu, mida saame anda kasutajatele, on eemale veebirakendustest, mis piiravad teie parooli pikkust lühikese tähtedega. See on selge märge haavatavatest vanade koolide paroolide autentimise rutiinist. Laiendatud parooli pikkus ja keerukus võivad natuke aidata, kuid ei ole garanteeritud kaitsevorm. Mida pikem on teie salasõna, seda suurem on Rainbowi tabelid, mis peaks seda purustama, kuid häkker, millel on palju ressursse, võib selle veel täita.
Meie nõuanded Vikerkaaritabelite kaitsmise kohta on mõeldud rakenduste arendajatele ja süsteemihalduritele. Need on esirinnas, kui kaitsta kasutajaid selle rünnaku eest.
Siin on mõned arendaja nõuanded Rainbow tabeli rünnakute vastu:
- Ärge kasutage MD5 või SHA1 oma paroolimahutamise funktsiooni. MD5 ja SHA1 on vananenud parooliga segamise algoritmid ning enamik vihmametsa tabeleid, mida kasutatakse paroolide purustamiseks, on loodud nende rakenduste ja süsteemide sihtimiseks, kasutades neid hehingamise meetodeid. Mõelge nüüd kaasaegsematele hehingamismeetoditele, nagu SHA2.
- Kasutage oma salashingmise rutiinsena krüptograafilist "Soola". Krüptograafilise soola lisamine parooliga segamise funktsioonile aitab kaitsta oma rakenduses paroolide purustamiseks kasutatavaid Rainbowi tabeleid. Et näha mõnda koduvõrgu näidist, kuidas krüptograafilist soola kasutada, et aidata oma taotlust Rainbow-Proofi abil, vaadake üles WebMasters By Designi veebisait, millel on sellel teemal suurepärane artikkel.
Kui soovite näha, kuidas häkkerid paroolirünnakuid Rainbow tabelite abil teed, saate lugeda seda suurepärast artiklit selle kohta, kuidas neid tehnikaid oma paroolide taastamiseks kasutada.