Ayaw itugot nga ang ilang nindot nga ngalan makalibog kanimo, kini nga mga butang makahahadlok.
Samtang ikaw tingali maghunahuna sa Rainbow Tables ingon nga daghang kolor nga muwebles, dili kini ang atong hisgutan. Ang Rainbow Tables nga atong gihisgutan gigamit sa paglansad sa mga password ug usa pa nga himan sa kanunay nga nagtubo nga arsenal.
Unsa ang gibati nga Rainbow Tables? Sa unsa nga paagi nga ang usa ka butang nga adunay ingon ka maanindot ug dungganon nga ngalan makadaot kaayo?
Ang Basic nga Konsepsiyon sa Luyo sa Rainbow Tables
Usa ako ka dili maayo nga tawo nga nakapilit sa usa ka thumb drive ngadto sa usa ka server o workstation, reboot niini, ug nagpadagan sa usa ka programa nga nag-kopya sa security database file nga adunay mga user name ug mga password sa akong thumb drive.
Ang mga password sa file gi-encrypt aron dili nako mabasa kini. Kinahanglan ko nga lutuon ang mga password sa file (o labing menos ang administrator password) aron akong magamit kini aron ma-access ang sistema.
Unsa ang mga opsyon alang sa pag-crack sa mga password? Mahimo kong sulayan ug gamiton ang usa ka malisod nga pwersa nga password cracking nga programa sama sa John the Ripper, nga mawala sa file sa password, naningkamot nga itanan ang matag posible nga kombinasyon sa usa ka password. Ang ikaduha nga kapilian mao ang pag-load sa usa ka password cracking dictionary nga adunay gatusan ka libo nga kasagarang gigamit nga mga password ug tan-awon kon kini adunay bisan unsang mga hits. Kini nga mga pamaagi mahimo nga mga semana, mga bulan, o bisan mga tuig kung ang mga password adunay igo nga kalig-on.
Sa diha nga ang usa ka password "gisulayan" batok sa usa ka sistema kini "gikutlo" gamit ang encryption aron ang aktwal nga pasword dili gayud ipadala sa tin-aw nga teksto latas sa linya sa komunikasyon. Kini magpugong sa mga eavesdroppers gikan sa pagsanta sa password. Ang hash sa usa ka password sagad nga tan-awon sama sa usa ka pundok sa mga basura ug sa kasagaran usa ka lain nga gitas-on kay sa orihinal nga pasword. Ang imong password mahimo nga "shitzu" apan ang hash sa imong password mahimong tan-awon sama sa "7378347eedbfdd761619451949225ec1".
Aron mapamatud-an ang usa ka user, ang usa ka sistema naggamit sa hash value nga gimugna sa password nga hashing function sa kliyente nga kompyuter ug gitandi kini sa hash value nga gitipigan sa usa ka lamesa sa server. Kung ang mga hashes nga giparis, nan ang tigpamatuud gipamatud-an ug gihatagan og access.
Ang pagdasdas sa usa ka password usa ka 1-way function, nga nagpasabot nga dili nimo mahimo ang pag-decrypt sa hash aron makita kung unsa ang tin-aw nga teksto sa password. Walay yawe sa pag-decrypt sa hash sa higayon nga kini gibuhat. Walay "decoder ring" kung gusto nimo.
Ang mga programa sa pag-crack sa password nagtrabaho sa susama nga paagi sa proseso sa pag-login. Ang cracking nga programa nagsugod pinaagi sa paggamit sa mga plaintext nga mga password, nga nagpadagan niini pinaagi sa hash algorithm, sama sa MD5, ug gitandi ang hash output uban ang hashes sa gikawat nga file sa password. Kon kini makakaplag sa usa ka pasundayag dayon ang programa naglutaw sa pasword. Sama sa atong gisulti kaniadto, kini nga proseso mahimong dugay kaayo.
Pagsulod sa Rainbow Tables
Ang Rainbow Tables usa ka dako nga mga hugpong sa mga precomputed nga mga lamesa nga puno sa hash values nga gipaangay sa posible nga mga password nga plaintext. Ang Rainbow Tables sa esensya nagtugot sa mga hacker sa pag-usab sa function sa hashing aron mahibal-an kung unsa ang plaintext password. Posible alang sa duha ka lainlaing mga password nga moresulta sa sama nga hash aron kini dili importante aron mahibal-an kon unsa ang orihinal nga password, sama ra nga pareho ang hash. Ang plaintext nga password dili gani mahimo nga mao ra nga password nga gimugna sa user, apan basta ang hash matupngan, nan kini dili igsapayan unsa ang orihinal nga password.
Ang paggamit sa Rainbow Tables nagtugot sa mga password nga makaguba sa usa ka mubo kaayo nga panahon kon ikumpara sa mga pamaagi sa brute-force, bisan pa, ang trade-off mao nga kini nagkinahanglan og daghang pagtipig (usahay Terabytes) sa paghupot sa Rainbow Tables mismo, Ang pagtipig niini nga mga adlaw daghan kaayo ug barato busa kini nga trade-off dili sama ka dako nga usa ka kasabutan nga kini usa ka dekada ang milabay sa dihang ang terabyte nga mga biyahe dili usa ka butang nga mahimo nimong makuha sa lokal nga Best Buy.
Ang mga hack makahimo sa pagpalit sa precomputed Rainbow Tables alang sa pag-crack sa mga password sa vulnerable operating nga mga sistema sama sa Windows XP, Vista, Windows 7, ug mga aplikasyon gamit ang MD5 ug SHA1 ingon nga ilang password hashing nga mekanismo (daghang mga web developer nga mga developer ang naggamit gihapon niini nga mga hashing algorithm).
Unsaon Pagpanalipod sa Imong Kaugalingon Batok sa Pag-atake sa Password sa Base sa Rainbow Tables
Gusto namon nga adunay mas maayo nga tambag niini nga usa alang sa tanan. Gusto namong isulti nga ang usa ka mas lig-on nga password makatabang, apan kini dili tinuod tungod kay dili kini kahuyangan sa password nga ang problema, kini ang kahuyang nga may kalabutan sa function sa hashing nga gigamit sa pag-encrypt sa usa ka password.
Ang pinakamaayo nga tambag nga atong mahatag sa mga tiggamit mao ang paglikay sa mga aplikasyon sa web nga nagpugong sa gitas-on sa password sa usa ka mubo nga gidaghanon sa mga karakter. Kini usa ka tin-aw nga ilhanan sa huyang nga daan nga pagtuon sa password sa daan nga eskwelahan. Ang gipalawig nga gitas-on sa password ug komplikado mahimong makatabang sa usa ka gamay, apan dili usa ka garantisadong porma sa proteksyon. Kon mas taas ang imong password, ang mas dako nga Rainbow Tables kinahanglan nga sa pagluka niini, apan ang usa ka hacker nga adunay daghan nga mga kapanguhaan mahimo pa nga mahimo niini.
Ang among tambag kon unsaon pagpanalipod batok sa Rainbow Tables alang gayud sa mga developers sa aplikasyon ug sa mga administrador sa sistema. Sila anaa sa mga nag-una nga linya sa pagpanalipod sa mga tiggamit batok niini nga matang sa pag-atake.
Ania ang pipila ka mga tip sa developer sa pagdepensa batok sa pag-atake sa Rainbow Table:
- Ayaw gamita ang MD5 o SHA1 sa imong password nga hashing function. Ang MD5 ug SHA1 mga daan nga mga algorithm sa hashing ug kadaghanan nga mga lamesa sa balangaw nga gigamit sa pag-crack sa mga password gitukod aron sa target nga mga aplikasyon ug mga sistema gamit ang mga pamaagi sa hashing. Ikonsiderar ang paggamit sa mas modernong mga pamaagi sa hashing sama sa SHA2.
- Gamita ang usa ka cryptographic nga "Salt" sa imong password nga hashing routine. Ang pagdugang sa usa ka cryptographic nga Salt sa imong password nga hashing function makatabang sa pagpanalipod batok sa paggamit sa Rainbow Tables nga gigamit sa pag-crack sa mga password sa imong aplikasyon. Sa pagtan-aw sa pipila ka mga pananglitan sa paggamit sa usa ka cryptographic nga asin aron pagtabang sa "Rainbow-Proof" ang imong aplikasyon palihog tan-awa ang WebMasters By Design site nga adunay usa ka dakung artikulo sa hilisgutan.
Kon gusto nimong makita kung giunsa sa mga hacker ang pagbuhat sa usa ka password nga pag-atake gamit ang Rainbow Tables, mahimo nimo mabasa kining maayo kaayo nga artikulo kung unsaon paggamit kini nga mga pamaagi aron mabawi ang imong kaugalingong mga password.