Password sprængning ved hjælp af regnbue tavler

Vi har netop installeret en ny kopi af vores Windows, bruge timer på at opdatere det med at bunke patches almindeligt kendt som Windows Update, skal du vælge en stærk alfanumerisk adgangskode for at give Morpheus, overbevist om, at vores system er ukrænkelig.

Sikkert mange vil genkende i dette eksempel, følger vi bruger timer og timer at installere, konfigurere og opgradere et system. I vores arbejde har vi flittigt beskytte adgangskoden for ti eller flere tegn, som vi husker med besvær, fordi bevidst om hvor hurtigt knække et password politik, som vi har valgt en vanskelig streng

 



 3N1rvAn%% @! -

 

Godt arbejde, fortjener en ordentlig hvile, og alligevel er dette system lider af en svaghed, der gør dem tilbøjelige til et hurtigt adgangskode krakker.

I denne artikel vil vi diskutere password sprængning ved hjælp af regnbue tavler, en teknik, der fremskynder revner prøvelse af visse systemer i forskellige størrelsesordener, der giver sine særheder og begrænsninger.

Adgangskode og Hash

Først og fremmest, lad os reflektere et øjeblik om, hvordan du gemme dine adgangskoder er generelt: det er naturligvis ønskeligt, at sådanne følsomme oplysninger opbevares på en klar, derfor typisk foretrækker at bruge hashing algoritmer, der koder adgangskoden ved hjælp af vores ikke-reversibel matematiske funktioner. For dem uvidende om matematisk analyse er det erindres, at en funktion ikke er invertibel er en sammenhæng mellem to objekter, som du ikke kan komme igennem udgangspunktet, det eneste resultat, rapporteret i vores tilfælde betyder, at du ikke kan få adgangskoden kun besidder hash-værdi genereres af algoritme (kaldet en hash).

Selv om mange mennesker tror det modsatte, en hash er langt fra enestående, og på det modsatte, er der uendeligt mange værdier, der producerer den samme hash, men i en god hashing algoritme sandsynligheden for, at de to strenge, der producerer den samme hash er minimal, uendelig værdi, korrekt (i statistisk forstand) tilnærmes nul. Det betyder, at finde en streng, der er kodet i den samme hash er indkodet i vores password er helt usandsynlig.

Når vi skrive vores password hash er genberegnet, med samme algoritme, og dette er ikke adgangskoden værdi, der skal sammenlignes. Således kan vi trygt bevare vores hash-fil, skal du sørge for, at de hundredvis af trillioner af mulige kombinationer vores password er ukrænkelig. Selvfølgelig vil et angreb, der søger at udtømme alle muligheder (kaldet "nøgle rum") utvivlsomt finde en streng, der kan producere den samme hash, men vi fra ovenstående, vores sikkerhed er, at kombinationer er i tilstrækkeligt antal til at ikke tillade dette i en rimelig tid.

Rainbow Tables

Vi introducerer den regnbue tavler, var ideen undfanget i firserne af den amerikanske matematiker Martin Hellman, men havde sin fulde udstrækning gennem de efterfølgende undersøgelser af Philippe Oechslin.

På basen er der en ret simpel og intuitiv overvejelse, "fordi hver gang alle mulige calcorare op for at få en hash, der matcher den adgangskode, du søger?" Hvis jeg for tidligt havde beregnet og lagret alle mulige kombination i en slags telefonbog af den algoritme, vi kunne på en mere fleksibel søge i arkivet og finde de rigtige hash. Faktisk er prisen for en adgangskode krakning primært en funktion til beregning af hash, der omfatter komplekse matematiske algoritmer, der skal produceres, i forhold til sidstnævnte, strengen sammenligning at afgøre, om hash (forskningen fase) er korrekt er en ubetydelige omkostninger af tid.

• <<
• 1
• 2
• 3
• >>