Tħallix l-isem ħelu tagħhom iqarqulek, dawn l-affarijiet huma ta 'daqqa ta' għajxien
Filwaqt li tista 'taħseb ta' Tabelli Rainbow bħala għamara ekleġittika mlewna, dawk mhumiex dawk li se niddiskutu. It-Tabelli tal-Qawsalla li qed nitkellmu huma użati biex jixxaqqbu l- passwords u għadhom għodda oħra fl-arsenal dejjem jikber ta 'Hacker .
X'inhuma l-Heck huma Tabelli Rainbow? Kif jista 'xi ħaġa b'tali isem ħelu u mimli tkun tant ta' ħsara?
Il-Kunċett Bażiku Behind Tabelli Rainbow
Jien raġel ħażin li għadu kif ipplaggja sewqan kbir f'servizz jew stazzjon ta 'xogħol, reġa' beda dan, u dam programm li kopja l-fajl tad-database tas-sigurtà li fih ismijiet ta 'l-utent u l-passwords għal thumb drive tiegħi.
Il-passwords fil-fajl huma encrypted hekk ma nistax nirrevedihom. Se jkolli xxekkel il-passwords fil-fajl (jew għallinqas il-password ta 'l-amministratur) sabiex inkun nista' nagħmilhom biex jidħlu fis-sistema.
X'inhuma l-għażliet għall-qsim tal-passwords? Nista 'nipprova u nuża programm ta' qtugħ tal- password ta ' forza brutali bħal John the Ripper, li tużah fil-fajl tal-password, jippruvaw iterativament raden kull kombinazzjoni possibbli ta' password. It-tieni għażla hija li tagħbija dizzjunarju ta 'cracking tal-password li fih mijiet ta' eluf ta 'passwords użati b'mod komuni u ara jekk jiġrilek xi hits. Dawn il-metodi jistgħu jieħdu ġimgħat, xhur, jew saħansitra snin jekk il-passwords huma b'saħħithom biżżejjed.
Meta password tkun "ippruvata" kontra sistema huwa "hashed" bl - użu ta ' encryption sabiex il-password attwali qatt ma jintbagħat f'test ċar fuq il-linja tal-komunikazzjoni. Dan jipprevjeni lill-eavesdroppers milli jinterċettaw il-password. Il-hash ta 'password normalment jidher qisu mazz ta' żibel u huwa tipikament tul differenti mill-password oriġinali. Il-password tiegħek jista 'jkun "shitzu" imma l-hash tal-password tiegħek tħares xi ħaġa bħal "7378347eedbfdd761619451949225ec1".
Biex tivverifika l-utent, sistema tieħu l-valur hash maħluq mill-funzjoni tal-password hashing fuq il-kompjuter tal-klijent u tqabbel mal-valur tal-hash maħżun f'tabella fis-server. Jekk il-hashes jaqblu, allura l-utent ikun awtentikat u jingħata aċċess.
Hashing password hija funzjoni 1-way, li jfisser li ma tistax tiddiżipriva l-hash biex tara x'inhu t-test ċar tal-password. M'hemm l-ebda ċavetta biex tiddiżiprivja l-hash ladarba tinħoloq. M'hemmx "ċirku tad-decoder" jekk għandek.
Programmi ta 'qsim tal-password jaħdmu b'mod simili għall-proċess tal-login. Il-programm ta 'qsim jibda billi jieħu passwords plaintextejn, billi jimxihom permezz ta' algoritmu tal-hash, bħal MD5, u mbagħad iqabbel il-ħruġ tal-hash bl-hashes fil-fajl tal-password misruqa. Jekk issib taqbila allura l-programm qabad il-password. Kif għidna qabel, dan il-proċess jista 'jieħu ħafna żmien.
Daħħal it-Tabelli tal-qawsalla
Tabelli Rainbow huma bażikament settijiet enormi ta 'tabelli pre-komputazzjoni mimlija b'valuri hash li huma mqabbla minn qabel ma' passwords ta 'testi b'xejn. It-Tabelli Rainbow essenzjalment jippermettu lill-hackers biex ireġġgħu lura l-funzjoni ta 'l-għawm biex jiddeterminaw x'jista' jkun il-password tal-kitba. Huwa possibbli li żewġ passwords differenti jirriżultaw fl-istess hash u għalhekk mhuwiex importanti li ssir taf x'kienet il-password oriġinali, sakemm ikollha l-istess hash. Il-password tal-kitba bil-miktub tista 'ma tkunx l-istess password li nħolqot mill-utent, iżda sakemm il-hash hija mqabbla, allura ma jimpurtax x'kienet il-password oriġinali.
L-użu ta 'Tabelli Rainbow jippermetti li l-passwords jiġu kkrekkjati f'ħafna żmien qasir meta mqabbla mal-metodi ta' forza brutali, madankollu, il-kompromess huwa li jieħu ħafna ħażna (xi kultant Terabytes) li jżommu t- Il-ħażna f'dawn il-jiem hija abbundanti u irħisa hekk li dan il-kompromess mhuwiex daqshekk kbir peress li kien għaxar snin ilu meta l-drives tat-terabyte ma kinux xi ħaġa li tista 'tagħżel fil-Best Buy lokali.
Hackers jistgħu jixtru tabelli Rainbow Tabelli prekondizzjonati għall-qsim tal-passwords ta 'sistemi operattivi vulnerabbli bħal Windows XP, Vista, Windows 7 u applikazzjonijiet li jużaw MD5 u SHA1 bħala mekkaniżmu tal-password tagħhom (ħafna żviluppaturi ta' applikazzjoni tal-web għadhom jużaw dawn l-algoritmi tal-hash).
Kif Ipproteġi lilek innifsek kontra Attakki ta 'Kontenut Ibbażat fuq Tabelli Rainbow
Nixtiequ li kien hemm parir aħjar dwar dan għal kulħadd. Nixtiequ ngħidu li password aktar b'saħħitha tkun ta 'għajnuna, iżda dan mhux tassew veru minħabba li mhux id-dgħjufija tal-password li hija l-problema, huwa d-dgħufija assoċjata mal-funzjoni tal-qtugħ li qed tintuża biex tikkrypt password.
L-aħjar parir li nistgħu nagħtu lill-utenti huwa li tissospendi l-bogħod minn applikazzjonijiet tal-web li jirrestrinġu t-tul tal-password tiegħek għal numru qasir ta 'karattri. Dan huwa sinjal ċar ta 'rutini vulnerabbli ta' awtentikazzjoni ta 'password antika. It-tul u l-kumplessità tal-password estiż jistgħu jgħinu daqsxejn, iżda mhix forma garantita ta 'protezzjoni. L-itwal il-password tiegħek, l-akbar it-Tabelli Rainbow għandhom ikunu li xquq, iżda hacker b'ħafna riżorsi xorta jista 'jwettaq dan.
Il-parir tagħna dwar kif niddefendu kontra Tabelli Rainbow huwa verament maħsub għall-iżviluppaturi ta 'l-applikazzjoni u l-amministraturi tas-sistema. Huma fuq il-linji ta 'quddiem meta jiġu biex jipproteġu lill-utenti kontra dan it-tip ta' attakk.
Hawn huma xi tips għall-iżviluppaturi dwar id-difiża kontra attakki Rainbow Table:
- Tużax MD5 jew SHA1 fil-funzjoni tal-password tiegħek. MD5 u SHA1 huma algoritmi tal-password ta 'password u l-biċċa l-kbira tat-tabelli tal-qawsalla użati biex jinqasmu l-passwords huma mibnija biex jimmiraw applikazzjonijiet u sistemi li jużaw dawn il-metodi tal-hashing. Ikkunsidra l-użu ta 'metodi aktar moderni tal-bidu bħal SHA2.
- Uża "Salt" kriptografiku fir-rutina tal-hashing tal-password tiegħek. Iż-żieda ta 'Melħ kriptografiku mal-funzjoni tal-password tiegħek għandha tgħin tiddefendi kontra l-użu ta' Tabelli tal-Qawsalla użati biex jixxaqqaq il-passwords fl-applikazzjoni tiegħek. Biex tara xi eżempji ta 'kodifikazzjoni ta' kif tuża melħ kriptografiku biex tgħin "Rainbow-Proof" l-applikazzjoni tiegħek, ara l-WebMasters By Design sit li għandu artiklu kbir dwar is-suġġett.
Jekk trid tara kif il-hackers iwettqu attakk ta 'password billi jużaw Tabelli Rainbow, tista' taqra dan l -artikolu eċċellenti dwar kif tuża dawn it-tekniki biex tirkupra l-passwords tiegħek.