Թույլ մի տվեք նրանց խելոք անունը ձեզ հիմար, այս բաները սարսափելի են:
Թեեւ դուք կարող եք մտածել Rainbow սեղաններ, որպես eclectic գունագեղ կահույք, նրանք չեն, որ մենք պատրաստվում ենք քննարկել: The Rainbow աղյուսակներ, որոնք մենք խոսում ենք օգտագործվում են կոտրել գաղտնաբառերը եւ եւս մեկ գործիք է հաքերների աճող զինանոցում:
Ինչ է ստախոսը Ծիածան սեղանները: Ինչպես կարող էր այդքան գեղեցիկ եւ կախարդական անունով մի բան դառնալ վնասակար:
Ծիածանի աղյուսակների հետեւի հիմնական հասկացությունը
Ես վատ տղա եմ, ով ուղղակիորեն միացրեց thumb drive- ը սերվերի կամ աշխատասեղանի մեջ, վերագործարկեց այն եւ վազեց մի ծրագիր, որը կրկնօրինակում է անվտանգության տվյալների բազայի ֆայլը, որը պարունակում է օգտվողների անուններ եւ գաղտնաբառեր, իմ գլխավոր սկավառակի վրա:
Ֆայլի գաղտնաբառերը կոդավորված են, որպեսզի ես չկարողանամ դրանք կարդալ: Ես ստիպված կլինեմ կոտրել ֆայլի գաղտնաբառերը (կամ առնվազն ադմինիստրատորի գաղտնաբառը), այնպես որ ես կարող եմ օգտագործել դրանք համակարգ մուտք գործելու համար:
Որոնք են գաղտնաբառերի կոտրման տարբերակները: Կարող եմ փորձել եւ օգտագործել կոպիտ ուժերի գաղտնաբառերի կոտրման ծրագիր, ինչպիսիք են John the Ripper- ը, որը կախված է գաղտնաբառի ֆայլից, փորձելով iteratively գուշակել ցանկացած հնարավոր կոմբինատի գաղտնաբառը: Երկրորդ տարբերակն այն է, բեռնել գաղտնաբառ կոտրելու բառարան, որը պարունակում է հարյուր հազարավոր սովորաբար օգտագործված գաղտնաբառեր եւ տեսնում, թե արդյոք այն ստանում է որեւէ հարված: Այս մեթոդները կարող են տեւել շաբաթներ, ամիսներ, նույնիսկ տարիներ, եթե գաղտնաբառերը բավարար են:
Երբ համակարգը դեմ է «փորձել», այն «խճճվել է» կոդավորմամբ, որպեսզի փաստացի գաղտնաբառը երբեք չի ուղարկվում հստակ տեքստում հաղորդակցության գծում: Սա թույլ չի տալիս գաղտնալսող սարքերի մուտքը գաղտնաբառ: Գաղտնաբառի խառնումը սովորաբար նման է աղբի փունջին եւ սովորաբար տարբեր երկարություն է, քան սկզբնական գաղտնաբառը: Ձեր գաղտնաբառը կարող է լինել «shitzu», բայց ձեր գաղտնաբառի խոռնակը նման է «7378347eedbfdd761619451949225ec1»:
Օգտվողը ստուգելու համար համակարգը վերցնում է հաճախորդի համակարգչում գաղտնաբառի խառնման գործառույթի ստեղծած խառնուրդի արժեքը եւ այն համեմատում է սերվերի վրա գտնվող սեղանի մեջ պահվող խառնուրդի արժեքին: Եթե խմորը համապատասխանում է, ապա օգտագործողը նույնականացվում է եւ մատչելի է:
Խաբելով գաղտնաբառը միակողմանի գործառույթ է, որը նշանակում է, որ դուք չեք կարող decrypt խաչը տեսնել, թե ինչ է հստակ տեքստի գաղտնաբառը: Դրանք ստեղծվելուց հետո խառնաշփոթը բացելու բանալին չկա: Չկա «ապակոդավորող օղակ», եթե դուք կամենաք:
Գաղտնաբառերի ծածկագրման ծրագրերը նույն կերպ աշխատում են մուտքի գործընթացում: The cracking ծրագիրը սկսվում է բաց կոդով գաղտնաբառերով, վազելով նրանց խաբել ալգորիթմի միջոցով, օրինակ `MD5, ապա համեմատում է hash- ի արտադրանքը գողացված գաղտնաբառը ֆայլի խաչերով: Եթե այն գտնում է խաղ, ապա ծրագիրը կոտրել է գաղտնաբառը: Ինչպես նախկինում ասել էինք, այս գործընթացը կարող է շատ երկար ժամանակ տեւել:
Մուտքագրեք ծիածանի աղյուսակները
Ծիածան սեղանները հիմնականում հեշական արժեքների լցված նախնական հաշվարկված սեղանների հսկայական հավաքածուներ են, որոնք նախապես համապատասխանում են հնարավոր բաց կոդով գաղտնաբառերին: Rainbow սեղանները, ըստ էության, թույլ են տալիս հաքերներին հակադարձել խառնաշփոթ գործառույթը `որոշելու, թե ինչ կարող է լինել բաց կոդով գաղտնաբառը: Հնարավոր է, որ երկու տարբեր գաղտնաբառեր հանգեցնեն նույն խառնուրդին, ուստի կարեւոր չէ պարզել, թե ինչ է բնօրինակ գաղտնաբառը, քանի դեռ այն ունի նույն խառնուրդը: Բաց կոդով գաղտնագիրը կարող է նույնիսկ լինել նույն գաղտնաբառը, որը ստեղծվել է օգտագործողի կողմից, սակայն քանի դեռ խառնումը համապատասխանում է, ապա կարեւոր չէ, թե ինչ է բնօրինակը գաղտնաբառը:
Rainbow սեղանների օգտագործումը հնարավորություն է տալիս գաղտնաբառերը կոտրել կոշտ ուժային մեթոդների համեմատությամբ, սակայն, առեւտրի արդյունքում այն է, որ տիեզերական աղբահավաքներ անցկացնելու համար պահանջվում է շատ պահեստներ (երբեմն Terabytes) Պահպանումը այս օրերին բավականին էժան է եւ էժան, որպեսզի այս առեւտրային գործարքը ոչ այնքան մեծ գործարք է, որքան տասնամյակ առաջ, երբ terabyte- ի կրիչները չէին կարողանում վերցնել տեղական Best Buy- ին:
Հաքերները կարող են ձեռք բերել Prekomotte Rainbow սեղաններ `խոցելի օպերացիոն համակարգերի գաղտնաբառերը կոտրելու համար, ինչպիսիք են Windows XP, Vista, Windows 7 եւ MD5 եւ SHA1 օգտագործող ծրագրեր, քանի որ իրենց գաղտնաբառի խառնաշփոթ մեխանիզմը (շատ վեբ հավելվածի մշակողները դեռ օգտագործում են այս խառնաշփոթ ալգորիթմները):
Ինչպես պաշտպանել ձեր դեմ Rainbow աղյուսակների վրա հիմնված գաղտնաբառերի հարձակումներից
Ցանկանում ենք, որ այսուհետ ավելի լավ խորհուրդներ լինեին բոլորի համար: Մենք կցանկանայինք ասել, որ ավելի ուժեղ գաղտնաբառը կօգտվի, բայց դա իրականում ճիշտ չէ, քանի որ դա ոչ թե գաղտնաբառի թուլությունն է, որը խնդիրն է, այն թուլությունն է, որը կապված է խառնաշփոթ գործառույթի հետ, որն օգտագործվում է գաղտնաբառ ծածկելու համար:
Լավագույն խորհուրդները, որոնք կարող ենք տալ օգտվողներին, հեռու մնալ վեբ հավելվածներից, որոնք սահմանափակում են ձեր գաղտնաբառը երկարությունը կարճ թվով նիշերի համար: Սա խոցելի հին դպրոցական գաղտնաբառերի նույնականացման ընթացակարգերի հստակ նշան է: Ընդլայնված գաղտնաբառի երկարությունը եւ բարդությունը կարող են օգնել մի քիչ, բայց ոչ երաշխավորված ձեւ: Որքան երկար է ձեր գաղտնաբառը, այնքան ավելի մեծ կլինի Rainbow սեղաններն այն ճեղքելու համար, բայց հսկայական ռեսուրսներով հակեր կարող է դա անել:
Մեր խորհուրդները, թե ինչպես պաշտպանել Rainbow Tables- ն, իրականում նախատեսված են ծրագրի մշակողների եւ համակարգի ադմինիստրատորների համար: Նրանք գտնվում են ճակատային գծերի վրա, երբ խոսքը վերաբերում է օգտվողներին այդպիսի հարձակման դեմ:
Ահա որոշ ծրագրավորող խորհուրդներ Rainbow սեղանի հարձակումներից պաշտպանելու վերաբերյալ:
- Մի օգտագործեք MD5 կամ SHA1 ձեր գաղտնաբառը hashing գործառույթում: MD5 եւ SHA1- ը հնացած գաղտնագրման ալգորիթմներ են, եւ ծածկագրերի կոդերի համար օգտագործվող ծիածանի աղյուսակների մեծ մասը կառուցված են նպատակային ծրագրեր եւ համակարգեր օգտագործելով այս խառնաշփոթ մեթոդներով: Հաշվի առեք ավելի շատ ժամանակակից hashing մեթոդներ, ինչպիսիք են SHA2:
- Օգտագործեք գաղտնալսող «Աղ» ձեր գաղտնաբառի խառնաշփոթ ռեժիմում: Ձեր գաղտնաբառի հափշտակման գործառույթին կից գաղափարական աղի ավելացումն օգնում է պաշտպանել Rainbow Tables- ի օգտագործման դեմ, որն օգտագործվում է ձեր դիմումում կոծկելու համար: Որոշ կոդավորման օրինակներ դիտելու համար, թե ինչպես օգտագործել ծածկագրման աղը, «Rainbow-Proof» - ը ձեր դիմումի համար խնդրում ենք ստուգել WebMasters By Design կայքում, որն ունի մեծ հոդված հոդվածի վերաբերյալ:
Եթե ցանկանում եք տեսնել, թե ինչպես են հաքերները կատարում գաղտնաբառ հարձակումը Rainbow սեղաններ օգտագործելով, կարող եք կարդալ այս հիանալի հոդվածը , թե ինչպես օգտագործել այդ մեթոդները վերականգնելու ձեր անձնական գաղտնաբառերը: