Tabelat e ylberit: Ankthi më i keq i fjalëkalimit tënd

Mos lejoni që emri i tyre i bukur të mashtrojë, këto gjëra janë të frikshme.

Ndërsa ju mund të mendoni për Rainbow Tables si mobilje eklektike me ngjyra, ato nuk janë ato që do të diskutojmë. Tabelat e ylberit për të cilat po flasim përdoren për të goditur fjalëkalimet dhe janë një mjet tjetër në arsenalin gjithnjë në rritje të hakerëve .

Çfarë dreqin janë tabelat e ylberit? Si mund të ishte diçka kaq e dëmshme diçka me një emër aq të butë dhe të butë?

Koncepti themelor prapa tabelave të ylberit

Unë jam një djalë i keq i cili sapo ka mbyllur një disk në një server ose stacion pune, e ka rifilluar atë dhe ka drejtuar një program që kopjon skedarin e bazës së të dhënave të sigurisë që përmban emrat e përdoruesit dhe fjalëkalimet në diskun tim të madh.

Fjalëkalimet në dosje janë të koduara kështu që unë nuk mund t'i lexoj ato. Unë do të duhet të thyej fjalëkalimet në skedar (ose të paktën fjalëkalimin e administratorit) në mënyrë që t'i përdor ato për të hyrë në sistem.

Cilat janë opsionet për plasimin e fjalëkalimeve? Unë mund të provoj dhe të përdor një program për plasaritje me fjalëkalim të fortë, siç është John the Ripper, i cili zhduket në dosjen e fjalëkalimeve, duke u përpjekur që në mënyrë të përsëritur të mendojë çdo kombinim të mundshëm të një fjalëkalimi. Opsioni i dytë është të ngarkoni fjalëkalimin me fjalëkalim që përmban qindra mijë fjalëkalime të përdorura zakonisht dhe të shohim nëse ajo merr ndonjë goditje. Këto metoda mund të kërkojnë javë, muaj apo edhe vite nëse fjalëkalimet janë mjaft të forta.

Kur një fjalëkalim është "provuar" kundër një sistemi është "hashed" duke përdorur encryption kështu që fjalëkalimi aktual nuk është dërguar kurrë në tekst të qartë në të gjithë linjën e komunikimit. Kjo parandalon që sekuestruesit të ndërpresin fjalëkalimin. Hashja e një fjalëkalimi zakonisht duket si një bandë e mbeturinave dhe zakonisht është një gjatësi ndryshe nga fjalëkalimi origjinal. Fjalëkalimi juaj mund të jetë "shitzu", por hashja e fjalëkalimit tuaj do të duket diçka si "7378347eedbfdd761619451949225ec1".

Për të verifikuar një përdorues, një sistem merr vlerën e hash krijuar nga funksioni hashing fjalëkalimin në kompjuterin e klientit dhe e krahason atë me vlerën hash ruajtur në një tabelë në server. Nëse hash përputhet, atëherë përdoruesi është i legalizuar dhe jepet qasje.

Hashing një fjalëkalim është një funksion me një drejtim, që do të thotë që ju nuk mund të decrypt hash për të parë se çfarë është teksti i qartë i fjalëkalimit. Nuk ka çelës për të dekriptuar hashun sapo të krijohet. Nuk ka "unazë decoder" nëse do.

Programet e plasaritjes së fjalëkalimeve punojnë në mënyrë të ngjashme me procesin e identifikimit. Programi i plasaritjes fillon duke marrë fjalëkalime të thjeshta, duke i drejtuar ata përmes një algoritmi hash, të tillë si MD5, dhe pastaj krahason prodhimin hash me hash në skedarin e fjalëkalimit të vjedhur. Nëse gjen një ndeshje atëherë programi ka plasaritur fjalëkalimin. Siç kemi thënë më parë, ky proces mund të marrë një kohë shumë të gjatë.

Shkruani tabelat e ylberit

Tabelat e ylberit janë në thelb grupe të mëdha të tabelave të përpiluara të mbushura me vlera hash që janë para-përputhet me fjalëkalimet e mundshme të thjeshtë. Tabelat e ylberit në thelb u lejojnë hakerëve që të ndryshojnë funksionin e hashing për të përcaktuar se çfarë mund të jetë fjalëkalimi i thjeshtë. Është e mundur që dy fjalëkalime të ndryshme të rezultojnë në hashun e njëjtë kështu që nuk është e rëndësishme të gjesh se çfarë fjalëkalimi fillestar ishte, po aq sa ka të njëjtën hash. Fjalëkalimi i thjeshtë mund të mos jetë edhe fjalëkalimi i njëjtë që u krijua nga përdoruesi, por përderisa hashja përputhet, atëherë nuk ka rëndësi se çfarë ishte fjalëkalimi origjinal.

Përdorimi i Tabelave të Rainbow lejojnë që fjalëkalimet të plasariten në një kohë shumë të shkurtër krahasuar me metodat e dhunës bruto, megjithatë, tregtia është se nevojitet shumë magazinim (nganjëherë Terabytes) për të mbajtur vetë Tabelat Rainbow, Ruajtja e këtyre ditëve është e bollshme dhe e lirë, kështu që ky tregti nuk është një marrëveshje e madhe sa ishte një dekadë më parë kur disqet terabyte nuk ishin diçka që ju mund të vini në Best Buy lokale.

Hakerët mund të blejnë tabela Rainbow për paralajmërimin e fjalëkalimeve të sistemeve operative të prekshme, siç janë Windows XP, Vista, Windows 7 dhe aplikacionet që përdorin MD5 dhe SHA1 si mekanizmin e hashingut të fjalëkalimeve (shumë zhvillues të aplikacioneve web ende përdorin këto algoritme hashing).

Si të mbroni veten kundër sulmeve të fjalëkalimeve të bazuara në tabelat e ylberit

Ne dëshirojmë këshilla më të mira për këtë për të gjithë. Ne do të doja të them se një fjalëkalim më i fortë do të ndihmonte, por kjo nuk është me të vërtetë e vërtetë sepse nuk është dobësia e fjalëkalimit që është problemi, është dobësia e lidhur me funksionin e hashing që përdoret për të koduar një fjalëkalim.

Këshilla më e mirë që mund t'i japim përdoruesit është të qëndrojmë larg aplikimeve të internetit që kufizojnë gjatësinë e fjalëkalimit tuaj në një numër të shkurtër personash. Kjo është një shenjë e qartë e rregullave të pambrojtura të legalizimit të fjalëkalimeve të shkollës së vjetër. Gjatësia e zgjatur e fjalëkalimit dhe kompleksiteti mund të ndihmojnë pak, por nuk është një formë e garantuar e mbrojtjes. Sa më gjatë të jetë fjalëkalimi juaj, aq më e madhe tabelat e ylberit duhet të jenë për ta goditur atë, por një haker me shumë burime mund ta arrijë këtë ende.

Këshilla jonë se si të mbrohet nga tabelat e ylberit është me të vërtetë e destinuar për zhvilluesit e aplikacioneve dhe administratorët e sistemit. Ata janë në vijën e frontit kur është fjala për mbrojtjen e përdoruesve kundër këtij lloji të sulmit.

Këtu janë disa këshilla për zhvilluesit për të mbrojtur kundër sulmeve të Tabelave të Rainbow:

  1. Mos përdorni MD5 ose SHA1 në funksionin e hashing të fjalëkalimit. MD5 dhe SHA1 janë algoritme të kalimit të fjalëkalimeve të vjetruara dhe shumica e tabelave ylber që përdoren për të goditur fjalëkalimet janë ndërtuar për të synuar aplikacionet dhe sistemet duke përdorur këto metoda hashing. Konsideroni përdorimin e metodave më moderne të hashing si SHA2.
  2. Përdorni një "kripe" kriptografike në rutinë tuaj të hashingut të fjalëkalimit. Shtimi i një kripe kriptografike në funksionin e hashing të fjalëkalimit do të ndihmojë në mbrojtjen nga përdorimi i tabelave të ylberit që përdoren për të prishur fjalëkalimet në aplikacionin tuaj. Për të parë disa shembuj të kodimit se si të përdorim një kripë kriptografike për të ndihmuar "Rainbow-Proof" aplikacionin tuaj, ju lutem shikoni WebMasters By Design site që ka një artikull të madh në temë.

Nëse dëshironi të shihni se si hakerat kryejnë një sulm me fjalëkalim duke përdorur Tabelat Rainbow, ju mund të lexoni këtë artikull të shkëlqyer për mënyrën e përdorimit të këtyre teknikave për të rimarrë fjalëkalimet tuaja.