Neleisk jų mieliam vardo kvailioti, šie dalykai yra baisi.
Nors galite manyti, kad "Rainbow" stalai yra eklektiški spalvingi baldai, tai nėra tie, apie kuriuos ketiname aptarti. "Rainbow" staleliai, apie kuriuos kalbame, yra naudojami slaptažodžių naikinimui ir yra dar vienas įrankis hakerio vis didėjančiam arsenalui.
Ką gi yra Rainbow lentelės? Kaip gali kažkas su tokiu mieliu ir linksma pavadinimu būti toks žalingas?
Pagrindinė koncepcija už vaivorykštės lentelių
Esu blogas vyrukas, kuris ką tik prijungė nykščio įrenginį į serverį ar darbo vietą, iš naujo paleido jį ir paleido mano nykščio įrenginio programinę įrangą, kuri kopija saugos duomenų bazės failą, kuriame yra vartotojo vardai ir slaptažodžiai.
Failo slaptažodžiai yra užkoduoti, todėl negaliu jų skaityti. Aš turiu sulaužyti slaptažodžius (arba bent administratoriaus slaptažodį), kad galėčiau juos naudoti prieigai prie sistemos.
Kokios yra slaptažodžių sugadinimo galimybės? Aš galiu pabandyti ir panaudoti " brutal force" slaptažodžių įtrūkimo programą, tokią kaip "John the Ripper", kuri slapta slaptažodžio byloje, bandydama kartotinai spėti apie galimą slaptažodžio derinį. Antrasis variantas - įkelti slaptažodžiu sugadintą žodyną, kuriame yra šimtai tūkstančių dažniausiai naudojamų slaptažodžių, ir pamatyti, ar jis gauna bet kokius įvykius. Šie slaptažodžiai gali užtrukti kelias savaites, mėnesius ar net metus.
Kai slaptažodis "bandomas" prieš sistemą, jis yra "iškeistas" naudojant šifravimą , kad faktinis slaptažodis niekada nebūtų išsiųstas aiškiu tekstu per ryšių liniją. Tai užkerta kelią saugotojams užkirsti kelią slaptažodžio perėmimui. Slaptažodžio maišas dažniausiai atrodo kaip šiukšlių krūva ir paprastai jis skiriasi nuo pradinio slaptažodžio. Jūsų slaptažodis gali būti "shitzu", bet slaptažodžio maišas atrodys kaip "7378347eedbfdd761619451949225ec1".
Norėdami patikrinti naudotoją, sistema naudoja maišymo reikšmę, sukurtą kliento kompiuterio slaptažodžio maišymo funkcija, ir palygina ją su serverio lentelėje saugoma maišos reikšme. Jei maišos sutampa, vartotojas yra autentifikuotas ir suteikia prieigą.
Keitimo slaptažodis yra vienos krypties funkcija, o tai reiškia, kad jūs negalite iššifruoti hash, norėdami pamatyti, kas yra aiškus slaptažodžio tekstas. Nėra pagrindo iššifruoti maišos, kai jis bus sukurtas. Jei norite, nėra "dekoderio žiedo".
Slaptažodžio įtrūkimo programos veikia panašiai kaip prisijungimo procesas. Krekingo programa prasideda priimant paprasto slaptažodžio slaptažodžius, paleidžiant juos naudojant maišos algoritmą, pvz., MD5, ir tada palygina maišos išvestį su keitimu iš pavogto slaptažodžio failo. Jei jis randa rungtynes, programa sugadina slaptažodį. Kaip minėjome anksčiau, šis procesas gali užtrukti ilgą laiką.
Įveskite "Rainbow" stalus
Vaivorykštės lentelės yra iš esmės didžiuliai iš anksto parengtų lentelių rinkiniai, užpildyti maišos reikšmėmis, kurios yra iš anksto suderintos su galimais paprasto teksto slaptažodžiais. "Rainbow" lentelės iš esmės leidžia įsilaužėliams pakeisti maišymo funkciją, norint nustatyti, koks paprasto teksto slaptažodis gali būti. Gali būti, kad du skirtingi slaptažodžiai sukelia tą patį maišą, todėl nėra svarbu sužinoti, koks buvo pradinis slaptažodis, tiek, kiek jis turi tą patį maišą. Paprasto teksto slaptažodis netgi negali būti tas pats slaptažodis, kurį sukūrė naudotojas, tačiau jei maišas yra suderintas, tai nesvarbu, koks buvo pirminis slaptažodis.
"Rainbow" lentelių naudojimas leidžia sugadinti slaptažodžius per labai trumpą laiką, palyginti su brute-force metodais, tačiau kompromisas yra tas, kad reikia daug vietos (kartais terabaitų) laikyti "Rainbow" staliukus patys, Šios dienos sandėliavimas yra gausios ir pigios, todėl ši kompromisas nėra tokio didelio sandorio, kaip prieš dešimtmetį, kai terabaitų diskai nebuvo kažkas, kad galėtumėte pasiimti vietos "Best Buy".
"Hakeriai" gali nusipirkti anksčiau pateiktas "Rainbow" stalų, skirtų pažeidžiamų operacinių sistemų, tokių kaip "Windows XP", "Vista", "Windows 7", ir programų, kurios naudoja MD5 ir SHA1 , slaptų slaptažodžių maišymo mechanizmą (daugelis interneto programų kūrėjų vis dar naudoja šiuos maišymo algoritmus).
Kaip apsisaugoti nuo rainbow lentelių pagrįsto slaptažodžio atakų
Norėtume, kad visiems būtų geresnio patarimo šiuo klausimu. Mes norėtume pasakyti, kad būtų lengviau sugriežtinti slaptažodį , tačiau tai nėra tiesa, nes slaptažodžio silpnumas yra problema, tai yra silpnumas, susijęs su maišymo funkcija, naudojama slaptažodžio užšifravimui.
Geriausias patarimas, kurį galime suteikti vartotojams, yra apsisaugoti nuo interneto programų, kurios apriboja jūsų slaptažodžio ilgį iki trumpo simbolių skaičiaus. Tai yra aiškus pažeidžiamų senosios mokyklos slaptažodžių autentiškumo nustatymo požymis. Išplėstinis slaptažodžio ilgis ir sudėtingumas gali šiek tiek padėti, tačiau nėra garantuojamos apsaugos formos. Kuo ilgiau jūsų slaptažodis, tuo didesnis "Rainbow" staliukas turėtų būti sugadintas, bet vis tiek tai gali padaryti hakeris su daug išteklių.
Mūsų patarimai, kaip apginti "Rainbow" stalelius, iš tikrųjų yra skirti programų kūrėjams ir sistemos administratoriams. Jie yra pirmoje eilutėje, kai reikia apsaugoti naudotojus nuo tokio tipo atakos.
Štai keli kūrėjo patarimai, kaip apginti "Rainbow Table" išpuolius:
- Nenaudokite MD5 arba SHA1 savo slaptažodžio maišymo funkcijoje. MD5 ir SHA1 yra pasenę slaptažodžių maišymo algoritmai, o dauguma vaivorykštinių lentelių, naudojamų slaptažodžių naikinimui, yra sukurtos siekiant taikyti šias maišymo metodus naudojant programas ir sistemas. Apsvarstykite galimybę naudoti šiuolaikinius maišymo metodus, tokius kaip SHA2.
- Naudodamiesi kriptografiniu "Druska" savo slaptažodžių maišymo programoje. Kriptografinės druskos pridėjimas prie slaptažodžių maišymo funkcijos padės apginti "Rainbow" lentelių, naudojamų jūsų programoje slaptažodžius įstrigti, apsauga. Norėdami pamatyti keletą kodavimo pavyzdžių, kaip naudoti kriptografinę druską, kad padėtų "Rainbow-Proof" jūsų paraiškai, apsilankykite "WebMasters By Design" svetainėje, kurioje yra puikus straipsnis tema.
Jei norite sužinoti, kaip įsilaužėliai atlieka slaptažodžio užpuolimą naudodami "Rainbow" stalus, galite perskaityti šį puikų straipsnį apie tai, kaip naudoti šiuos metodus, norint susigrąžinti savo slaptažodžius.