Rainbow Tables: ຝັນຮ້າຍຂອງລະຫັດລັບຂອງທ່ານ

ບໍ່ໃຫ້ຊື່ທີ່ຫນ້າຮັກຂອງພວກເຂົາຫລອກລວງທ່ານ, ສິ່ງເຫລົ່ານີ້ຫນ້າຢ້ານ.

ໃນຂະນະທີ່ທ່ານອາດຈະຄິດກ່ຽວກັບ Rainbow Tables ເປັນເຄື່ອງເຟີນິເຈີທີ່ມີສີສັນສົດໃສ, ບໍ່ແມ່ນສິ່ງທີ່ພວກເຮົາຈະສົນທະນາ. ຕາລາງ Rainbow ທີ່ພວກເຮົາກໍາລັງເວົ້າແມ່ນໃຊ້ໃນການ crack ລະຫັດຜ່ານ ແລະຍັງມີເຄື່ອງມືອື່ນໃນສານຫນູທີ່ເຄີຍຂະຫຍາຍຕົວ ຂອງແຮັກເກີ .

ສິ່ງທີ່ heck ແມ່ນ Rainbow Tables? ບາງສິ່ງບາງຢ່າງທີ່ມີຊື່ດັງແລະຫນ້າກຽດຫນ້າຈະເປັນອັນຕະລາຍແນວໃດ?

The Basic Concept Behind Rainbow Tables

ຂ້າພະເຈົ້າເປັນຜູ້ທີ່ບໍ່ດີຜູ້ທີ່ໄດ້ plugged ທຸບຕີເຂົ້າໃນເຄື່ອງແມ່ຂ່າຍຫຼື workstation, rebooted ມັນ, ແລະ ran ໂຄງການທີ່ສໍາເນົາໄຟລ໌ຖານຂໍ້ມູນຄວາມປອດໄພທີ່ມີຊື່ຜູ້ໃຊ້ແລະລະຫັດຜ່ານກັບຂັບຂອງຂ້ອຍ.

ລະຫັດຜ່ານໃນໄຟລ໌ແມ່ນຖືກເຂົ້າລະຫັດເພື່ອຂ້ອຍບໍ່ສາມາດອ່ານຂໍ້ມູນໄດ້. ຂ້າພະເຈົ້າຈະຕ້ອງ crack ລະຫັດຜ່ານໃນໄຟລ໌ (ຫຼືຢ່າງຫນ້ອຍລະຫັດຜ່ານຂອງຜູ້ເບິ່ງແລ) ດັ່ງນັ້ນຂ້ອຍສາມາດໃຊ້ມັນເພື່ອເຂົ້າເຖິງລະບົບ.

ຕົວເລືອກຕ່າງໆສໍາລັບການລຶບລະຫັດຜ່ານແມ່ນຫຍັງ? ຂ້າພະເຈົ້າສາມາດລອງໃຊ້ແລະໃຊ້ລະບົບປະທ້ວງລະຫັດຜ່ານທີ່ ໃຊ້ brute-force ເຊັ່ນ John the Ripper, ເຊິ່ງປອນຢູ່ໃນແຟ້ມລະຫັດຜ່ານ, ພະຍາຍາມ iteratively ເດົາການປະສົມປະສານໃດໆຂອງລະຫັດຜ່ານ. ຕົວເລືອກທີສອງແມ່ນການໂຫລດລະຫັດຜ່ານ cracking ລະຫັດຜ່ານເຊິ່ງມີຫລາຍຮ້ອຍຄໍາຂອງລະຫັດຜ່ານທີ່ຖືກນໍາໃຊ້ທົ່ວໄປແລະເບິ່ງວ່າມັນໄດ້ຮັບການຊົມໃດໆ. ວິທີການເຫຼົ່ານີ້ສາມາດໃຊ້ເວລາເປັນອາທິດ, ເດືອນ, ຫຼືແມ້ກະທັ້ງປີຖ້າລະຫັດຜ່ານມີຄວາມເຂັ້ມແຂງພຽງພໍ.

ເມື່ອລະຫັດຜ່ານຖືກ "ພະຍາຍາມ" ກັບລະບົບມັນ "ຖືກລຸດ" ໂດຍໃຊ້ ການເຂົ້າລະຫັດ ເພື່ອໃຫ້ລະຫັດຜ່ານທີ່ແທ້ຈິງບໍ່ໄດ້ຖືກສົ່ງໄປໃນຂໍ້ຄວາມທີ່ຖືກຕ້ອງທົ່ວເສັ້ນທາງການສື່ສານ. ນີ້ຈະປ້ອງກັນຜູ້ລ້າວຈາກການລຸດລະຫັດຜ່ານ. ຮາດຂອງລະຫັດຜ່ານຕາມປົກກະຕິແມ່ນຄ້າຍຄືຊໍ່ຂອງຂີ້ເຫຍື້ອແລະປົກກະຕິແມ່ນຄວາມຍາວທີ່ແຕກຕ່າງກັນກ່ວາລະຫັດຜ່ານເດີມ. ລະຫັດຜ່ານຂອງທ່ານອາດຈະເປັນ "shitzu" ແຕ່ລະຫັດຜ່ານຂອງທ່ານຈະເບິ່ງຄືກັບ "7378347eedbfdd761619451949225ec1".

ເພື່ອກວດສອບຜູ້ໃຊ້, ລະບົບຈະໃຊ້ຄ່າຮາດທີ່ສ້າງຂື້ນໂດຍການເຮັດຫນ້າທີ່ລະຫັດຜ່ານເທິງຄອມພິວເຕີໄຄເອັນແລະປຽບທຽບກັບຄ່າໄຖ້ທີ່ເກັບໄວ້ໃນຕາຕະລາງເທິງເຄື່ອງແມ່ຂ່າຍ. ຖ້າມີການຮັດຮອຍ, ຫຼັງຈາກນັ້ນຜູ້ໃຊ້ຈະຖືກກວດສອບແລະໄດ້ຮັບການເຂົ້າເຖິງ.

ການຖອນລະຫັດຜ່ານເປັນຫນ້າທີ່ 1 ທາງ, ຊຶ່ງຫມາຍຄວາມວ່າທ່ານບໍ່ສາມາດຖອດລະຫັດຮັດເພື່ອເບິ່ງວ່າຂໍ້ຄວາມທີ່ຊັດເຈນຂອງລະຫັດຜ່ານແມ່ນຫຍັງ. ບໍ່ມີສິ່ງສໍາຄັນທີ່ຈະຖອນລະຫັດຮາດເມື່ອມັນຖືກສ້າງຂຶ້ນ. ຖ້າບໍ່ດັ່ງນັ້ນ, ບໍ່ມີ "ວົງເລັບ".

ລະຫັດຜ່ານ cracking ເຮັດວຽກໃນແບບດຽວກັນກັບຂະບວນການເຂົ້າສູ່ລະບົບ. ໂປລແກລມ cracking ຈະເລີ່ມຕົ້ນໂດຍການໃຊ້ລະຫັດຜ່ານທີ່ເປັນຂໍ້ຄວາມທໍາມະດາ, ແລ່ນມັນຜ່ານລະບົບແຮັກ, ເຊັ່ນ MD5, ແລະຫຼັງຈາກນັ້ນປຽບທຽບຜົນຜະລິດທີ່ມີຮາດໃນລະຫັດຜ່ານທີ່ຖືກຂະໂມຍ. ຖ້າຫາກວ່າມັນພົບການແຂ່ງຂັນຫຼັງຈາກນັ້ນ, ໂຄງການໄດ້ຮອຍແຕກລະຫັດຜ່ານ. ດັ່ງທີ່ພວກເຮົາໄດ້ກ່າວມາກ່ອນ, ຂະບວນການນີ້ສາມາດໃຊ້ເວລາດົນນານ.

ກະລຸນາໃສ່ຕາລາງ Rainbow

Rainbow Tables ແມ່ນພື້ນຖານສໍາຄັນຂອງຕາຕະລາງ precomputed ທີ່ເຕັມໄປດ້ວຍຄຸນຄ່າທີ່ມີຄ່າທີ່ຖືກລ່ວງຫນ້າກັບລະຫັດລັບທີ່ເປັນໄປໄດ້. ຮຸ້ນ Rainbow ສະຫນັບສະຫນູນແຮກເກີເພື່ອປ່ຽນຫນ້າທີ່ການຮວບຮວມເພື່ອກໍານົດລະຫັດຜ່ານທີ່ເປັນຂໍ້ຄວາມ. ມັນເປັນໄປໄດ້ສໍາລັບສອງລະຫັດຜ່ານທີ່ແຕກຕ່າງກັນທີ່ຈະມີຜົນໃນຮັດດຽວກັນດັ່ງນັ້ນມັນບໍ່ສໍາຄັນທີ່ຈະຊອກຫາລະຫັດຜ່ານຕົ້ນສະບັບ, ພຽງແຕ່ເທົ່າທີ່ມັນມີຮັດດຽວກັນ. ລະຫັດຜ່ານທີ່ບໍ່ຖືກຕ້ອງອາດຈະບໍ່ແມ່ນລະຫັດຜ່ານດຽວກັນທີ່ຖືກສ້າງຂື້ນໂດຍຜູ້ໃຊ້, ແຕ່ວ່າເວລາທີ່ hash ຖືກຈັບ, ຫຼັງຈາກນັ້ນມັນບໍ່ແມ່ນວ່າລະຫັດຜ່ານເດີມແມ່ນຫຍັງ.

ການນໍາໃຊ້ Rainbow Tables ອະນຸຍາດໃຫ້ລະຫັດລັບຈະຖືກຮອຍແຕກໃນເວລາສັ້ນໆເວລາເມື່ອທຽບກັບວິທີການບັງຄັບໃຊ້, ແຕ່ການຄ້າແມ່ນວ່າມັນໃຊ້ເວລາຫຼາຍບ່ອນເກັບຮັກສາ (ບາງຄັ້ງ Terabytes) ເພື່ອຖື Rainbow Tables ຕົວເອງ, ການເກັບຮັກສາໃນມື້ນີ້ແມ່ນມີຄວາມອຸດົມສົມບູນແລະລາຄາຖືກດັ່ງນັ້ນການແລກປ່ຽນນີ້ບໍ່ໄດ້ເປັນຂໍ້ຕົກລົງໃຫຍ່ຍ້ອນວ່າມັນເປັນສິບປີທີ່ຜ່ານມາເມື່ອຂັບ terabyte ບໍ່ແມ່ນສິ່ງທີ່ທ່ານສາມາດເລືອກເອົາຢູ່ທີ່ Best Buy ທ້ອງຖິ່ນ.

ແຮກເກີສາມາດຊື້ Rainbow Tables precomputed ສໍາລັບການລະເມີດລະຫັດຜ່ານຂອງລະບົບປະຕິບັດການທີ່ມີຄວາມສ່ຽງເຊັ່ນ Windows XP, Vista, Windows 7 ແລະຄໍາຮ້ອງສະຫມັກໂດຍໃຊ້ MD5 ແລະ SHA1 ເປັນກົນໄກການລະຫັດຜ່ານຂອງພວກເຂົາ.

ວິທີການປົກປ້ອງຕົນເອງຕໍ່ Rainbow Tables-Based Password Attacks

ພວກເຮົາຕ້ອງການຄໍາແນະນໍາທີ່ດີກວ່ານີ້ສໍາລັບທຸກຄົນ. ພວກເຮົາຢາກຈະເວົ້າວ່າ ລະຫັດຜ່ານທີ່ເຂັ້ມແຂງ ຈະຊ່ວຍ, ແຕ່ນີ້ບໍ່ແມ່ນຄວາມຈິງເພາະວ່າມັນບໍ່ແມ່ນຄວາມອ່ອນແອຂອງລະຫັດຜ່ານທີ່ເປັນບັນຫາ, ມັນແມ່ນຄວາມອ່ອນແອທີ່ກ່ຽວຂ້ອງກັບການເຮັດຫນ້າທີ່ທີ່ຖືກນໍາໃຊ້ເພື່ອເຂົ້າລະຫັດລະຫັດຜ່ານ.

ຄໍາແນະນໍາທີ່ດີທີ່ສຸດທີ່ພວກເຮົາສາມາດໃຫ້ຜູ້ໃຊ້ແມ່ນຢູ່ຫ່າງໄກຈາກຄໍາຮ້ອງສະຫມັກຂອງເວັບທີ່ຈໍາກັດຄວາມຍາວລະຫັດຜ່ານຂອງທ່ານກັບຈໍານວນຕົວອັກສອນສັ້ນ. ນີ້ແມ່ນສັນຍານທີ່ຈະແຈ້ງກ່ຽວກັບບັນຫາການກວດສອບລະຫັດຜ່ານຂອງໂຮງຮຽນເກົ່າທີ່ມີຄວາມສ່ຽງ. ຄວາມຍາວລະດັບຄວາມຍາວແລະຄວາມສັບສົນຂອງລະຫັດຜ່ານອາດຊ່ວຍໄດ້ນ້ອຍ, ແຕ່ບໍ່ແມ່ນແບບປົກປ້ອງທີ່ຖືກຮັບປະກັນ. ລະຫັດຜ່ານຂອງທ່ານມີເວລາຫຼາຍກວ່າເກົ່າ, ແຖບ Rainbow ຂະຫນາດໃຫຍ່ຈະຕ້ອງຂັດມັນ, ແຕ່ແຮກເກີທີ່ມີຊັບພະຍາກອນຫຼາຍໆຢ່າງຍັງສາມາດເຮັດສໍາເລັດໄດ້.

ຄໍາແນະນໍາຂອງພວກເຮົາກ່ຽວກັບວິທີການປ້ອງກັນ Rainbow Tables ແມ່ນຫມາຍຄວາມວ່າສໍາລັບນັກພັດທະນາໂປແກຼມແລະຜູ້ບໍລິຫານລະບົບ. ພວກເຂົາເຈົ້າແມ່ນຢູ່ໃນເສັ້ນທາງຫນ້າໃນເວລາທີ່ມັນມາກັບການປົກປ້ອງຜູ້ໃຊ້ຕໍ່ກັບການໂຈມຕີແບບນີ້.

ນີ້ແມ່ນຄໍາແນະນໍານັກພັດທະນາບາງຢ່າງທີ່ປົກປ້ອງຕໍ່ຕ້ານການໂຈມຕີຂອງ Rainbow Table:

  1. ຢ່າໃຊ້ MD5 ຫຼື SHA1 ໃນຫນ້າລະຫັດລັບຂອງທ່ານ. MD5 ແລະ SHA1 ແມ່ນລະບົບປະຕິບັດຕາມລະຫັດລັບທີ່ທັນສະໄຫມແລະຕາຕະລາງ rainbow ຫຼາຍທີ່ສຸດທີ່ໃຊ້ໃນການ crack ລະຫັດຜ່ານແມ່ນຖືກສ້າງຂຶ້ນເພື່ອກໍານົດເປົ້າຫມາຍແລະລະບົບການນໍາໃຊ້ວິທີການປອມເຫຼົ່ານີ້. ພິຈາລະນານໍາໃຊ້ວິທີການຂີ້ຝຸ່ນທີ່ທັນສະໄຫມຫລາຍຂຶ້ນເຊັ່ນ SHA2.
  2. ໃຊ້ລະຫັດລັບ "ເກືອ" ໃນລະຫັດລັບຂອງທ່ານ. ການເພີ່ມລະຫັດເກືອເຂົ້າໄປໃນລະຫັດປະຕິກິລິຍາລະຫັດຜ່ານຂອງທ່ານຈະຊ່ວຍປ້ອງກັນການນໍາໃຊ້ Rainbow Tables ທີ່ໃຊ້ໃນການລະເມີດລະຫັດຜ່ານໃນຄໍາຮ້ອງສະຫມັກຂອງທ່ານ. ເບິ່ງຕົວຢ່າງລະຫັດຈໍານວນຫນຶ່ງກ່ຽວກັບວິທີການນໍາໃຊ້ເກືອ cryptographic ເພື່ອຊ່ວຍ "Rainbow-Proof" ຄໍາຮ້ອງສະຫມັກຂອງທ່ານກະລຸນາກວດເບິ່ງເວັບໄຊທ໌ WebMasters ໂດຍການອອກແບບທີ່ມີບົດຄວາມທີ່ດີກ່ຽວກັບຫົວຂໍ້.

ຖ້າທ່ານຕ້ອງການເບິ່ງວິທີການແຮກເກີປະຕິບັດການໂຈມຕີລະຫັດຜ່ານໂດຍໃຊ້ Rainbow Tables, ທ່ານສາມາດອ່ານ ບົດຄວາມທີ່ດີເລີດນີ້ ກ່ຽວກັບວິທີການນໍາໃຊ້ເຕັກນິກເຫຼົ່ານີ້ເພື່ອຟື້ນຕົວລະຫັດຜ່ານຂອງທ່ານເອງ.