Не дозволувајте нивното симпатично име да ве измами, овие работи се страшно.
Иако можеби размислувате за Виножито маси како еклектичен шарен мебел, тие не се оние за кои ќе разговараме. Табелите за Виножито за кои зборуваме се користат за кршење на лозинки и се уште една алатка во постојано растечкиот арсенал на хакерите .
Што се грижи се Виножито маси? Како може нешто со такво симпатично и cuddly име да биде толку штетно?
Основниот концепт зад Виножито маси
Јас сум лош дечко кој штотуку вклучил хард диск во сервер или работна станица, го рестартирал и извршил програма со која ја копира датотеката со безбедносна база на податоци која содржи кориснички имиња и лозинки на мојот палец.
Лозинките во датотеката се шифрирани така што не можам да ги прочитам. Ќе морам да ги растурам лозинките во датотеката (или барем администраторската лозинка) за да можам да ги користам за пристап до системот.
Кои се можностите за пукање лозинки? Можам да се обидам и да користам програма за напукнување на лозинка за лоши сили, како што е Џон Мевосек, кој фрла далеку во лозинката, обидувајќи се да ја повтори секоја можна комбинација на лозинка. Втората опција е да се вчита лозинката за лозинка која содржи стотици илјади најчесто користени лозинки и да видат дали добива било какви хитови. Овие методи може да потрае неколку недели, месеци или дури и години ако лозинките се доволно силни.
Кога лозинката се "обидува" против системот, таа е "хаш" користејќи енкрипција, така што вистинската лозинка никогаш не е испратена со јасен текст низ линијата за комуникација. Ова спречува прислушниците да ја пресретнат лозинката. Хашот на лозинка обично изгледа како куп ѓубре и обично е различна должина од оригиналната лозинка. Вашата лозинка може да биде "shitzu", но хашот на вашата лозинка ќе изгледа нешто како "7378347eedbfdd761619451949225ec1".
За да верификува корисник, системот ја зема вредноста на хаш создадена од функцијата за хаширање на лозинка на клиентскиот компјутер и ја споредува со хеш вредноста зачувана во табела на серверот. Ако хешевите се совпаѓаат, тогаш корисникот е најавен и одобрен за пристап.
Задржувањето на лозинка е функција со 1 начин, што значи дека не можете да го декриптирате хашот за да видите што е јасен текст на лозинката. Не постои клуч за декриптирање на хашот откако ќе се креира. Нема "декодер прстен" ако сакате.
Програмите за напукнување на лозинка работат на сличен начин на процесот на најавување. Програмата за пукање започнува со земање лозинки за чист текст, извршувајќи ги низ хаш алгоритам, како што е MD5, а потоа го споредува излезниот хаш со хексите во украдената лозинка. Ако најде натпревар, тогаш програмата ја растури лозинката. Како што рековме претходно, овој процес може да потрае многу долго.
Внесете ги Табелите за Виножито
Табелите на Виножито се во основа огромни множества на претходно користени маси исполнети со хаш вредности кои се претходно одговараат на можни лозинки со обичен текст. Табелите на Виножито суштински им дозволуваат на хакерите да ја сменат функцијата на хашинг за да утврдат што би можело да биде лозинката на читниот текст. Можно е две различни лозинки да резултираат со истиот хаш, па затоа не е важно да дознаете што е оригиналната лозинка, се додека има ист хаш. Лозинката за лозинката не може да биде иста лозинка која е креирана од страна на корисникот, но се додека истиот се совпаѓа, тогаш не е важно што е оригиналната лозинка.
Употребата на Табели на Виножито дозволува лозинки да бидат распукани за многу краток временски период во споредба со методите на брутална сила, меѓутоа, компромисот е дека е потребно многу простор за складирање (понекогаш Терабајти) за да ги држат самите Виножито, Складирање овие денови е обилен и ефтин, па овој компромис не е толку голем договор како што беше пред една деценија кога терабајт вози не беше нешто што можете да го подигнете во локалниот Best Buy.
Хакерите можат да ги купат претходно користени табели на Виножито за лоши лозинки на ранливи оперативни системи како што се Windows XP, Vista, Windows 7 и апликациите кои користат MD5 и SHA1 како механизам за хаширање на лозинка (многу развивачи на веб апликации сеуште ги користат овие хашинг алгоритми).
Како да се заштитите од нападите на лозинки базирани на виножито
Би сакале да има подобар совет за ова за секого. Би сакале да кажеме дека посилна лозинка би помогнала, но ова навистина не е точно бидејќи не е слабоста на лозинката која е проблем, тоа е слабоста поврзана со функцијата на хашинг што се користи за шифрирање на лозинка.
Најдобар совет кој можеме да му го дадеме на корисниците е да се држиме подалеку од веб-апликации што ја ограничуваат должината на лозинката на краток број на знаци. Ова е јасен знак за рутините на ранливи стари училишни лозинки. Продолжената должина на лозинка и сложеност може да помогне малку, но не е загарантирана форма на заштита. Колку подолго е твојата лозинка, толку поголеми ќе бидат Тајните на Виножитото, но хакер со многу ресурси сеуште може да го постигне ова.
Нашиот совет за тоа како да се заштитиме од табелите Rainbow навистина е наменет за развивачите на апликации и системските администратори. Тие се на првите редови кога станува збор за заштита на корисниците од овој тип на напад.
Еве неколку совети за девелопери за одбрана од напади на Rainbow Table:
- Не користете MD5 или SHA1 во функцијата за хаширање на лозинка. MD5 и SHA1 се застарени алгоритми за хашинг со лозинка и повеќето табели со виножито користени за кршење на лозинки се изградени за целните апликации и системи кои ги користат овие методи на хаширање. Размислете за користење на повеќе современи методи на хаширање како SHA2.
- Користете криптографски "Солт" во рубриката за хаширање со вашата лозинка. Додавање на криптографска сол на функцијата за хаширање на лозинката ќе помогне во одбраната против употребата на Табели на Виножито кои се употребуваат за кршење на лозинките во вашата апликација. За да видите некои примери за кодирање како да користите криптографска сол за да им помогнете на "Виножито-доказ" вашата апликација, ве молиме проверете ја веб-страницата на WebMasters By Design која има одличен напис на темата.
Ако сакате да видите како хакерите вршат напад со лозинка користејќи Rainbow Tables, можете да ја прочитате оваа одлична статија за тоа како да ги користите овие техники за враќање на сопствените лозинки.