אל תתנו שם חמוד שלהם להטעות אותך, הדברים האלה מפחידים.
בעוד שאתה יכול לחשוב על לוחות קשת כמו ריהוט צבעוני אקלקטי, אלה לא אלה שאנחנו הולכים לדון. טבלאות הקשתות שאנו מדברים עליהן משמשות לפצח סיסמאות והן כלי נוסף בארסנל ההולך וגובר של האקרים .
מה לעזאזל הם לוחות קשת? איך יכול משהו עם שם כזה חמוד וחמוד להיות מזיק כל כך?
הרעיון הבסיסי מאחורי לוחות הקשת
אני בחור רע שיש לו רק פקוק כונן אצבע לתוך שרת או תחנת עבודה, אתחול מחדש אותו, ורץ תוכנית להעתיק את קובץ מסד הנתונים האבטחה המכילה שמות משתמש וסיסמאות לכונן האגודל שלי.
הסיסמאות בקובץ מוצפנות כך שאיני יכול לקרוא אותן. אני אצטרך לפצח את הסיסמאות בקובץ (או לפחות את סיסמת מנהל המערכת) כדי שאוכל להשתמש בהן כדי לגשת למערכת.
מהן האפשרויות לפצח סיסמאות? אני יכול לנסות להשתמש בתוכנית כוח פיצוץ סיסמאות פראי כגון ג'ון המרטש, אשר פאונד משם בקובץ הסיסמה, מנסה לנחש איטרטיבי כל שילוב אפשרי של סיסמה. האפשרות השנייה היא לטעון את הסיסמה פיצוח מילון המכיל מאות אלפי סיסמאות נפוץ ולראות אם הוא מקבל כל להיטים. שיטות אלה עשויות להימשך שבועות, חודשים או אפילו שנים אם הסיסמאות חזקות מספיק.
כאשר הסיסמה היא "ניסו" נגד מערכת הוא "hashed" באמצעות הצפנה, כך הסיסמה בפועל לא נשלחת טקסט ברור על פני קו התקשורת. זה מונע מצותתים ליירט את הסיסמה. חשיש של סיסמה בדרך כלל נראה כמו חבורה של אשפה הוא בדרך כלל אורך שונה מאשר הסיסמה המקורית. הסיסמה שלך עשויה להיות "shitzu" אבל את הסיסמה של הסיסמה שלך ייראה משהו כמו "7378347eedbfdd761619451949225ec1".
כדי לאמת משתמש, המערכת לוקחת את ערך ה- hash שנוצר על ידי פונקציית hashing הסיסמה במחשב הלקוח ומשווה אותו לערך ה- hash המאוחסן בטבלה בשרת. אם ההתאמה hashes, אז המשתמש מאומת ומאפשר גישה.
הקשה על סיסמה היא פונקציה חד-כיוונית, כלומר לא ניתן לפענח את ה- Hash כדי לראות מה הטקסט הברור של הסיסמה. אין מפתח לפענח את חשיש פעם הוא נוצר. אין "מפענח טבעת" אם תרצו.
סיסמה פיצוח תוכניות עבודה דומה בתהליך הכניסה. תוכנית פיצוח מתחיל על ידי לקיחת סיסמאות בטקסט, מפעיל אותם באמצעות אלגוריתם hash, כגון MD5, ולאחר מכן משווה את הפלט hash עם hashes בקובץ הסיסמה הגנוב. אם הוא מוצא התאמה אז התוכנית יש סדוק את הסיסמה. כפי שאמרנו קודם, תהליך זה עלול להימשך זמן רב.
הזן את לוחות הקשת
לוחות קשת הם בעצם ערכות ענק של טבלאות precomputed מלא ערכי חשיש כי הם מתאימים מראש סיסמאות בטקסט אפשרי. טבלאות קשת למעשה לאפשר האקרים כדי להפוך את הפונקציה hashing כדי לקבוע מה הסיסמה בטקסט עשוי להיות. זה אפשרי עבור שתי סיסמאות שונות כדי לגרום חשיש אותו אז זה לא חשוב כדי לגלות מה הסיסמה המקורית היתה, רק כל עוד יש לו את אותו חשיש. סיסמת הטקסט אינה יכולה להיות אותה סיסמה שנוצרה על-ידי המשתמש, אך כל עוד הוא מתאים, אז זה לא משנה מה הסיסמה המקורית.
השימוש בטבלאות קשת מאפשר לפצח את הסיסמאות תוך זמן קצר יחסית לשיטות כוח הזרוע, אך הסחר הוא שלוקח הרבה אחסון (לפעמים Terabytes) כדי להחזיק את לוחות הקשת בעצמם, אחסון בימים אלה הוא בשפע וזול אז זה סחר- off הוא לא כמו עסקה גדולה כפי שהיה לפני עשור כאשר כונני terabyte לא היה משהו שאתה יכול להרים ב Best Buy המקומי.
האקרים יכולים לרכוש טבלאות Rainbowputed Rainbowputed עבור סיסמאות מפוצלות של מערכות הפעלה רגישות כגון Windows XP, Vista, Windows 7 ויישומים המשתמשים ב- MD5 וב- SHA1 כמנגנון הסיסמה hashing שלהם (מפתחי יישומים רבים עדיין משתמשים באלגוריתמים אלה).
כיצד להגן על עצמך נגד קשת מבוסס לוחות טבלאות סיסמה
הלוואי שהיו עצה טובה יותר על כל אחד. ברצוננו לומר כי סיסמה חזקה יותר תעזור, אבל זה לא ממש נכון כי זה לא את החולשה של הסיסמה כי הבעיה, זה החולשה הקשורים הפונקציה hashing משמש להצפין סיסמה.
העצה הטובה ביותר שאנו יכולים לתת למשתמשים היא להתרחק יישומי אינטרנט להגביל את אורך הסיסמה שלך למספר קצר של תווים. זהו סימן ברור לשגרה של אימות סיסמאות של בית הספר הישן. אורך סיסמה מורחב ומורכבות עשויות לסייע מעט, אך לא מובטחת צורה של הגנה. ככל שהסיסמה שלך ארוכה יותר, כך הקשתות הגדולות יותר צריכות להיות מפוצלות, אבל האקר עם הרבה משאבים עדיין יכול להשיג זאת.
העצה שלנו על איך להגן מפני לוחות קשת נועד באמת עבור מפתחי יישומים ומנהלי מערכת. הם נמצאים בקווים הקדמיים כשמדובר בהגנה על משתמשים מפני סוג זה של התקפה.
הנה כמה טיפים למפתחים על הגנה מפני התקפות קשת בענן:
- אל תשתמש ב- MD5 או SHA1 בפונקציית hashing של הסיסמה שלך. MD5 ו SHA1 הם אלגוריתמים hashing הסיסמה מיושן ביותר שולחנות הקשת המשמשים לפצח סיסמאות בנויים ליישומים יישומים ומערכות באמצעות שיטות hashing אלה. שקול להשתמש בשיטות מודרניות יותר hashing כמו SHA2.
- השתמש בקריפטוגרפיה "מלח" בשגרה hashing הסיסמה שלך. הוספת מלח קריפטוגרפי לפונקציה hashing הסיסמה שלך יעזור להגן מפני השימוש של לוחות קשת המשמש לפצח סיסמאות ביישום שלך. כדי לראות כמה דוגמאות קידוד של איך להשתמש במלח הצפנה כדי לעזור "קשת- Proof" הבקשה שלך בבקשה לבדוק את WebMasters By Design אתר שבו יש מאמר נהדר בנושא.
אם אתה רוצה לראות איך האקרים לבצע התקפה סיסמה באמצעות לוחות קשת, אתה יכול לקרוא מאמר זה מצוין על אופן השימוש בטכניקות אלה כדי לשחזר את הסיסמאות שלך.