Prelomenie hesla pomocou rainbow tables

Online služby

Kto ešte nepredáva, čo viedlo až do tohto bodu, bude to možno opýtal, ako vytvárať tieto tabuľky ako čas potrebný na zakódovanie zodpovedá zásade, že musí vyčerpať kľúčové miesto s vopred stanovenou charakteristikou (alfanumerické, symboly, atď ...). V skutočnosti robia dobré tabuľky s domácimi počítačmi je jednoduché a ani obzvlášť užitočné: stráviť niekoľko rokov, vytvoriť tabuľku, ktorá sa vzťahuje iba na hesla ôsmich alfanumerických znakov, nie je to skvelý nápad. Našťastie je sieť plný cluster strojov používaných pre paralelné výpočty, tak, aby sa skrátila doba na vytvorenie optimálnej tabuľky za pár mesiacov, je k dispozícii on-line služieb a výskumu čo najlepšie známe algoritmy (napr. LM, NTLM, MD5, SHA1), je zadarmo a poplatok. Napríklad štúdia zdôraznila silu paralelných výpočtov o prelomenie hesla pomocou Amazon cloud služby, referenčný bod pre všetkých, ktorí chcú začať sa snaží tieto techniky je bezpochyby zadarmo rainbow tables .

Jednoduchý obrany

Odhalenie tohto problému zostáva pre nás diskutovať o riešení. Pre spustenie je to vždy stojí za to si pamätať základné pravidlá pre bezpečné heslo: 8:00 - 10:00 aspoň znaky, ktoré využívajú kombinácia alfanumerických znakov, veľké, malé písmená a symboly. Proti rainbow tables, ale stále potrebujú niečo viac, a to najmä, môžete použiť techniku ​​v prevádzke na Unix a jeho deriváty za viac ako 25 rokov: soľ hesla, doslovne "solené hesla".
Na základni soli hesiel, nápad, ktorý kombinuje jednoduchosť a prehľadnosť: najprv spočítať hash hesla, môžete pridať súbor sa inam nezmestilo (kúsky soli). Tieto bity možno odvodiť z ľubovoľného zdroja ako je používateľské meno, dátum a čas. Calcolatone hash, znovu jasne najavo, tieto kúsky, rozdelené markerov, ktoré im umožnia identifikovať. Napríklad:

 Heslo: Zamračené







 Salt zvolený: CX







 String na enkódování: cXNuVoLoSo







 Hash: ZTI Zi ¿½ ¿½ ¿½ NbTLï) ï ¿½ to?







 Reťazec uložený: cXZTï Zi ¿½ ¿½ ¿½ NbTLï) ï ¿½ to?

Výhodou tejto techniky je evidentná v soli sú rôzne heslá pre rôzne hash rovnaké. To neguje technika rainbow tables alebo iných pre-hash slovníkov. Útočník by sa spočítať mnoho možných porušení tabuľky pre všetky kombinácie bitov soli, pričom každý bit zdvojnásobí veľkosť archívu a čas potrebný na jeho dosiahnutie.

Ako príklad, prvá Unix systémy používané dvanásť trochu soli v kombinácii algoritmu DES (Data Encryption Standard), čo znamená, že každé heslo sa 2 ^ 12 = 4096 kombinácií, sa používajú v moderných systémoch zvyčajne od šestnástich bitov na päťdesiatštyri . Tento trik samozrejme neprijateľné Rozširuje veľkosť tabuliek.

Hoci protiopatrenia je jednoduché a lacné, mnoho systémov zatiaľ realizovať. Medzi nimi sú určite rodiny Microsoft Windows operačné systémy, ale tiež mnoho aplikačného softvéru, ako je PHP a MySQL, v takom prípade útoku pomocou rainbow tables je nesmierne efektívny.

Závery

Zvážte váš systém chránený len preto, že máte výkonný operačný systém, a sú vybavené aktualizovaný antivírusový a firewall, semplicemete je chiméra. Zrejmé, že tieto otázky sú priority a nemali by byť vynechané, ale bezpečnosť je proces, ktorý ide ďaleko za tieto stránky.

V dnešnej dobe, s enormný nárast výpočtového výkonu je vyjadrený CPU a (najmä) GPU, predstava o prelomenie hesla došlo rozhodol, či sa vykonáva brutálnou silou, ktorá rainbow tables. Základná znalosť aspoň pomôže premýšľať o vnútornej neistote hesiel, ktoré sa zvyčajne spolieha

Ďalšie informácie a odkazy

• Dokument, v ktorom Oechslin podrobne zaoberá technikou a matematiky za stoly dúhy
• Slávny rozhovor s možnosťami tabuliek dúhy Oechslin
• Ophcrack
• Zadarmo rainbow tables , najväčšie úložisko voľných stolov
• Projekt Dúhový Crack
• Salt heslo - Wikipedia

• <<
• 1
• 2
• 3
• >>