Ularning yoqimli ismlari sizni aldab qo'ymasin, bular qo'rqinchli.
Rainbow Cables-ni eklektik rangli mebel deb o'ylashingiz mumkin bo'lsa-da, bu biz muhokama qiladigan narsa emas. Biz aytayotgan Rainbow jadvallari parollarni parchalash uchun ishlatiladi va hackerning o'sib borayotgan arsenalida yana bir vosita.
Qo'rqinchli jadvallar nima? Bunday yoqimli va jozibali nomga ega bo'lgan narsa qanday zararli bo'lishi mumkin?
Rainbow jadvalining asosiy tushunchasi
Men oddiygina server yoki ish stantsiyasiga bosh barmog'i bilan ulanganman, uni qayta ishga tushirdim va foydalanuvchi nomlari va parollarini o'z ichiga olgan xavfsizlik ma'lumot bazasi faylini bosh barmog'imga ko'chiradigan dasturni ishga tushirdim.
Fayldagi parollar shifrlangan, shuning uchun ularni o'qiy olmayapman. Men tizimga kirish uchun ulardan foydalanishim uchun parollarni (yoki hech bo'lmaganda administrator parolini) parchalashim kerak.
Parollarni tuzatish imkoniyatlari qanday? Parolni ishga tushirishda parolni parolni parchalash dasturini ishlatishingiz mumkin va parolni parol bilan birgalikda ishlatishingiz mumkin. Ikkinchi variant - yuz minglab tez-tez ishlatib turiladigan parollarni o'z ichiga olgan parolni tuzatish lug'atini yuklab olish va har qanday xitni tekshirib ko'rish. Agar parollar etarli darajada kuchli bo'lsa, bu usullar hafta, oy yoki hatto yillarni talab qilishi mumkin.
Agar parolni tizimga qarshi "sinab ko'rilsa", bu parolni aloqa liniyasi orqali hech qachon aniq matnga yuborilmasligi uchun shifrlashdan foydalangan holda "hashed" bo'ladi. Bu esa, tinglovchilarning parolni ushlab qolishlariga to'sqinlik qiladi. Parolni xash odatda bir guruh axlatga o'xshaydi va odatda asl parolga qaraganda ancha uzundir. Sizning parolingiz "shitzu" bo'lishi mumkin, ammo sizning parolingiz xeshi "7378347eedbfdd761619451949225ec1" kabi ko'rinadi.
Bir foydalanuvchini tekshirish uchun tizim tizimdagi kompyuterda parolni hashlash funktsiyasi tomonidan yaratilgan xash qiymatini oladi va uni serverdagi jadvalda saqlangan xash qiymatiga solishtiradi. Agar xatlar mos keladigan bo'lsa, foydalanuvchi autentifikatsiya qilinadi va ruxsat beriladi.
Parolni hashlash 1-tomonlama funktsiyadir, ya'ni parolning aniq matnini ko'rish uchun karmani parolini ocholmaysiz. Xashni yaratilgach, parshini ochish uchun kalit yo'q. Agar xohlasangiz, "dekoder halqasi" yo'q.
Parolni tuzatish dasturlari login jarayoniga o'xshash tarzda ishlaydi. Xat loyihasi MD5 kabi xash algoritmidan foydalanib ishlaydigan ochiq matn parollarini olib, keyin xesh chiqishni o'g'irlangan parol fayliidagi xesh bilan solishtirganda boshlaydi. Agar u o'yinni topsa, dastur parolni buzdi. Avval aytganimizdek, bu jarayon juda uzoq vaqt talab qilishi mumkin.
Rainbow jadvallarini kiriting
Rainbow tables, asosan, ochiq matnli parollarga oldindan mos keladigan xash qiymatlari bilan to'ldirilgan prekompyuterli jadvallarning katta majmui. Rainbow Cables, asosan, hacker'ların, to'g'ri matn parolni nima ekanligini aniqlash uchun, aralashgan funktsiyasini farqli o'laroq imkon beradi. Ikki xil parol bir xil xashga olib kelishi mumkin, shuning uchun asl parol nima ekanligini bilish uchun muhim emas, xuddi shu xashga ega ekan. To'g'ri matn paroli ham foydalanuvchi tomonidan yaratilgan parolga aylanmasligi mumkin, lekin xash moslashtirilgandan keyingina asl parol nima muhimligini anglatmaydi.
Rainbow Cables-dan foydalanish shavqatsiz kuch usullari bilan solishtirganda parollarning juda qisqa vaqt ichida yorilishiga imkon beradi, biroq, savdo-sotiq, kamalak jadvallarini o'zlari saqlash uchun ko'plab (ba'zan Terabayt) saqlashni talab qiladi, Saqlash bugungi kun ko'p va arzon, shuning uchun bu savdo-sotiq o'n barobar avval, terabayt drayvlar sizning mahalliy Best Buy-da to'plashingiz mumkin bo'lmagan narsa emas.
Hackerlar Windows XP, Vista, Windows 7 kabi zaif operatsion tizimlarning parollarini parollarni parollarni hashlash mexanizmi sifatida MD5 va SHA1- ni qo'llagan parollarni parchalash uchun sotib olishlari mumkin (ko'plab veb-dastur ishlab chiqaruvchilari bu hashing algoritmlarini hamon ishlatishadi).
Rainbow jadvallariga asoslangan parol hujumlariga qarshi o'zingizni qanday himoya qilish kerak
Biz bu borada har kimga yaxshi maslahat berilishini istaymiz. Yana shuni aytish kerakki, kuchli parol yordam beradi, lekin bu haqiqat emas, chunki bu parolning zaifligi emas, bu parolni shifrlash uchun ishlatiladigan xashing funksiyasi bilan bog'liq zaiflikdir.
Foydalanuvchilarga beradigan eng yaxshi maslahat - parol uzunligini cheklovchi, veb-ilovalardan uzoq turish. Bu zaif eski maktab parollarini autentifikatsiya qilish qoidalarining aniq belgisidir. Kengaytirilgan parol uzunligi va murakkabligi biroz yordam berishi mumkin, lekin kafolatlangan kafolatlangan shakl emas. Sizning parolingiz qanchalik uzoq bo'lsa, Rainbow Cables-ning kattaroqligi uni yorib yuborishi kerak, ammo juda ko'p resurslarga ega bo'lgan hacker buni hali ham amalga oshirishi mumkin.
Rainbow Cables'ga qarshi qanday himoyalanish bo'yicha maslahatimiz dastur ishlab chiquvchilari va tizim ma'murlari uchun mo'ljallangan. Foydalanuvchilarni ushbu turdagi hujumlardan himoya qilish haqida oldingi qatorda.
Quyida Rainbow Stol hujumiga qarshi himoya qilish bo'yicha ba'zi ishlab chiquvchilar tavsiyalari mavjud:
- Parolni aralashtirish funktsiyasida MD5 yoki SHA1 dan foydalanmang. MD5 va SHA1 - eskirgan parolni aralashgan algoritmlar va parollarni parchalash uchun ishlatiladigan ko'pchilik kamalak jadvallari ushbu usullarni ishlatib, ilovalar va tizimlarni maqsad qilib qo'yish uchun yaratilgan. SHA2 kabi zamonaviy zamonaviy usullarni qo'llang.
- Sizning parolingizdagi hashamlik rejimida kriptografik "Salt" dan foydalaning. Kriptografik Tuzni sizning parolingizning hashing funksiyasiga qo'shilishi sizning ilovangizdagi parollarni ochish uchun ishlatiladigan "Rainbow" jadvallaridan foydalanishga qarshi himoya qilishga yordam beradi. "Rainbow-Proof" ga yordam berish uchun kriptografik tuzni qanday ishlatish kerakligi haqida bir necha kodlash misollarini ko'rish uchun iltimos, WebMasters By Design saytiga murojaat qiling, bu mavzu bo'yicha ajoyib maqola.
Agar siz xakerlar Rainbow Cables yordamida parollarni amalga oshirishni qanday ko'rishni istasangiz, o'z parollarini tiklash uchun ushbu texnikani qanday ishlatish haqida bu ajoyib maqolani o'qishingiz mumkin.