Өздерінің сүйкімді атын сені алдауға жол берме, бұл қорқынышты нәрсе.
Сіз Rainbow кестелерін эклектикалық түсті жиһаз ретінде ойласаңыз да, олар біз талқылайтын боламыз. Біз туралы айтатын Rainbow кестелері парольдерді жарнамалау үшін пайдаланылады және хакерлердің үнемі өсетін арсеналында тағы бір құрал болып табылады.
Rainbow кестелері деген не? Мұндай әдемі және әдемі есіммен бір нәрсе қалай зиянды болуы мүмкін?
Радуга кестесінің артындағы негізгі тұжырымдама
Мен жай ғана саусақтарыңызды серверге немесе жұмыс станциясына жалғанған, оны қайта жүктеген және менің басты саусағыма пайдаланушы аттары мен құпия сөздерін қамтитын қауіпсіздік дерекқор файлын көшіретін бағдарламаны іске қосты.
Файлдағы құпия сөздер шифрланған, сондықтан оларды оқымай алмаймын. Жүйедегі парольдерді (немесе, ең болмағанда, әкімші құпия сөзін) жүйеге кіру үшін қолдануға болатындай етіп ашуыма тура келеді.
Құпиясөздерді жаратудың қандай нұсқалары бар? Құпия сөз файлында жыпылықтайтын Джон Риппер секілді құпия сөзді жарату бағдарламасына қолдана отырып, құпия сөзді ықтимал комбинациялауға тырысамын. Екінші нұсқа - жүз мыңдаған әдетте пайдаланылатын құпия сөздерді қамтитын құпия сөзді крекингтік сөздікті жүктеу және кез келген хитке ие болып жатқанын көру. Егер құпия сөздер жеткілікті күшті болса, бұл әдістер апта, ай немесе тіпті жылдарды талап етеді.
Жүйеге қарсы құпия сөз «тырысқан кезде» ол шифрлауды пайдаланып, « шифрланған » болып табылады, осылайша нақты құпия сөз байланыс желісі бойынша нақты мәтінмен ешқашан жіберілмейді. Бұл құлаққаптардың құпия сөзді ұстауын болдырмайды. Құпия сөз хэш әдетте қоқыс шоғырына ұқсайды және әдетте бастапқы құпия сөзден гөрі өзгеше болады. Құпия сөзіңіз «shitzu» болуы мүмкін, бірақ құпия сөзіңіздің хеші «7378347eedbfdd761619451949225ec1» сияқты көрінеді.
Пайдаланушыны тексеру үшін жүйе клиенттік компьютерде құпия сөзді хэширлеу функциясы арқылы жасалған хэш мәнін алады және оны сервердегі кестеде сақталған хэш мәніне теңеді. Егер хэштер сәйкестендірілсе, онда пайдаланушы аутентификацияланып, кіруге рұқсат беріледі.
Құпия сөзді хэширлеу 1-жол функциясы болып табылады, яғни құпия сөздің нақты мәтінін көру үшін хэшті шеше алмайсыз. Хэшті жасағаннан кейін шифрын ашудың кілті жоқ. Егер қаласаңыз, «декодтау сақинасы» жоқ.
Құпия сөзді бұзу бағдарламалары кіру процесіне ұқсас жұмыс істейді. Жарылыс бағдарламасы MD5 сияқты хэш алгоритмі арқылы іске қосылып, құпия ақпараттарды алу арқылы басталады, содан кейін хэш шығысын ұрланған құпия сөз файлымен салыстырады. Егер ол сәйкестік тапса, онда бағдарлама құпия сөзді сындырды. Бұрын айтқанымыздай, бұл процесс өте ұзақ уақыт алады.
Rainbow кестелерін енгізіңіз
Радуга кестелері негізінен ықтимал ашық мәтіндегі парольдерге алдын-ала сәйкестендірілген хэш мәндерімен толтырылған алдын-ала есептелген кестелердің үлкен жиынтығы болып табылады. Rainbow кестелері негізінен хакерлердің пеш мәтінінің құпия сөзін анықтау үшін хэширлеу функциясын кері қайтаруға мүмкіндік береді. Екі түрлі құпия сөздің бірдей хэшке әкелуі мүмкін, сондықтан түпнұсқалық құпия сөздің қайсысы бірдей хэш болғаны туралы білу маңызды емес. Шынайы мәтін құпия сөзі пайдаланушы жасаған құпия сөзге айналмауы мүмкін, бірақ хэштің сәйкес келуіне қарай бастапқы құпия сөздің қандай екендігі маңызды емес.
Rainbow кестелерін қолдану, парольдерді күштеу әдістерімен салыстырғанда парольдердің өте қысқа уақыт ішінде жарылуына мүмкіндік береді, бірақ сауда-саттық Rainbow Tables өздері үшін көп сақтауға (кейде Terabytes) Бұл күндері сақтау көп және арзан, сондықтан бұл сауда-саттық үлкен келісім емес, өйткені он жыл бұрын терабайт драйверлері жергілікті Best Buy-да танылатын нәрсе емес еді.
Хакерлер Windows XP, Vista, Windows 7 сияқты қорғалмаған операциялық жүйелердің және MD5 және SHA1 пайдаланатын қосымшалардың құпиясөздерін құпиясөзді хэширлеу механизмі (көптеген веб-бағдарлама әзірлеушілері әлі де осы хэширлеу алгоритмдерін қолданатын) ретінде құпиясөздерді жоюға арналған Rainbow кестелерін сатып ала алады.
Rainbow кестелеріне негізделген құпия сөз шабуылдарына қарсы қалай қорғануға болады
Барлығына осы кеңесте жақсы кеңес берілуін тілейміз. Құпия сөздің мықтырақ болатынына сенімдіміз, бірақ бұл дұрыс емес, себебі құпия сөздің әлсіздігі емес, бұл парольді шифрлау үшін пайдаланылатын хэшинг функциясымен байланысты әлсіздік.
Пайдаланушыларға бере алатын ең жақсы кеңес - құпия сөз ұзындығын таңбалардың қысқа санына шектейтін веб-бағдарламалардан аулақ болу. Бұл ескірген ескі құпия сөздің аутентификациясының кәдімгі әрекеттерінің айқын белгісі. Кеңейтілген пароль ұзындығы мен күрделілігі біразға көмектесе алады, бірақ кепілді түрде қорғалмайды. Құпия сөзіңіз қаншалықты ұзағырақ болса, Rainbow кестелерінің қайсысы ол жарамсыз болуы керек, бірақ көп ресурсқа ие хакерлік мұны әлі де жүзеге асыра алады.
Rainbow кестелеріне қарсы қалай қорғауға болатындығы туралы кеңесіміз бағдарлама әзірлеушілеріне және жүйелік әкімшілерге арналған. Олар шабуылдың осы түріне қарсы пайдаланушыларды қорғауда алдыңғы сызықтарда.
Мұнда Rainbow Table шабуылдарына қарсы қорғаныс бойынша бірнеше әзірлеуші кеңестері берілген:
- Парольді хэширлеу функциясында MD5 немесе SHA1 пайдаланбаңыз. MD5 және SHA1 - ескірген парольді хэширлеу алгоритмдері және парольдерді ашу үшін пайдаланылатын көпшілікке арналған кестелер осы хэширлеу әдістерін қолданатын бағдарламалар мен жүйелерге бағытталған. SHA2 сияқты заманауи хэширлеу әдістерін қолдануды қарастырыңыз.
- Құпия сөз хэширлеу тәртібінде криптографиялық «тұзды» пайдаланыңыз. Құпия сөзді хэширлеу функциясына криптографиялық тұз қосу сіздің қосымшаларыңыздағы парольдерді бұзу үшін пайдаланылатын Rainbow кестелерін пайдаланудан қорғауға көмектеседі. «Rainbow-Proof» -қа көмектесу үшін криптографиялық тұзды қалай пайдалану туралы кейбір кодтау мысалдарын көру үшін өтініміңізді WebMasters By Design сайтына кіріп көріңіз, бұл тақырып бойынша тамаша мақаласы бар.
Егер сіз хакерлердің Rainbow кестелерін пайдаланып құпия сөз шабуыл жасайтынын көргіңіз келсе, өзіңіздің құпия сөзіңізді қалпына келтіру үшін осы әдістерді пайдалану туралы осы тамаша мақаланы оқи аласыз.