Efni.
- Grunnhugtakið á bakvið regnbogatöflurnar
- Sláðu inn regnbogatöflurnar
- Hvernig á að vernda sjálfan þig gegn regnbogatöflum sem byggja á lykilorðsárásum
Þótt þú gætir hugsað um Rainbow töflurnar sem rafræna litríkan húsgögn, þá eru þetta ekki þau sem við ætlum að ræða. Regnbogatöflurnar sem við erum að tala um eru notaðar til að sprunga lykilorð og eru enn eitt tæki í sívaxandi vopnabúr tölvusnápur.
Hvað eru „regnbogatöflur“? Hvernig gæti eitthvað með svona krúttlegt og keljandi nafn verið svona skaðlegt?
Grunnhugtakið á bakvið regnbogatöflurnar
Við erum slæmur gaur sem er nýbúinn að tengja þumalfingur drif á netþjón eða vinnustöð, endurræsa hann og keyra forrit sem afritar öryggis gagnagrunninn sem inniheldur notendanöfn og lykilorð á þumalfingur drifsins.
Lykilorðin í skránni eru dulkóðuð svo við getum ekki lesið þau. Við verðum að brjóta lykilorð í skránni (eða að minnsta kosti lykilorð stjórnandans) svo að við getum notað þau til að fá aðgang að kerfinu.
Hverjir eru kostirnir við sprunga lykilorð? Við getum prófað og notað sprungu-lykilorðsprungunarforrit eins og Jóhannes ripper, sem labbar í lykilorðaskránni og reynt að giska á allar mögulegar samsetningar lykilorða. Annar valkosturinn er að hlaða upp lykilorðssprengjuorðabók sem inniheldur hundruð þúsunda algengra lykilorða og sjá hvort það fær einhverjar hits. Þessar aðferðir geta tekið vikur, mánuði eða jafnvel ár ef lykilorð eru nógu sterk.
Þegar lykilorð er „reynt“ gegn kerfi er það „flýtt“ með dulkóðun þannig að raunverulegt lykilorð er aldrei sent í skýrum texta yfir samskiptalínuna. Þetta kemur í veg fyrir að heyrnartákn geti hlerað lykilorðið. Lykilorð fyrir lykilorð lítur venjulega út eins og fullt af rusli og er venjulega í annarri lengd en upprunalega lykilorðið. Lykilorðið þitt gæti verið shitzu en kjötkássa lykilorðsins þíns myndi líta eitthvað út 7378347eedbfdd761619451949225ec1.
Til að sannreyna notanda tekur kerfið kjötkássa gildi sem er búið til með kjötkássa virka á viðskiptavinatölvunni og ber það saman við kjötkássa gildi sem er geymt í töflu á netþjóninum. Ef hassið samsvarar, þá er notandinn staðfestur og honum veittur aðgangur.
Að sleppa lykilorði er ein leið sem þýðir að þú getur ekki afkóðað hassið til að sjá hver skýr texti lykilorðsins er. Það er enginn lykill til að afkóða hassið þegar það er búið til. Það er enginn „afkóðunarhringur“ ef þú vilt.
Forrit fyrir lykilorðssprengingar virka á svipaðan hátt og innskráningarferlið. Sprunguforritið byrjar á því að taka lykilorð með lykilorðum, keyra þau í gegnum kjötkássa reiknirit, svo sem MD5, og ber síðan saman kjötkássaútganginn við hassið í stolnu lykilorðsskránni. Ef það finnur samsvörun þá hefur forritið klikkað lykilorðið. Eins og við sögðum áður getur þetta ferli tekið mjög langan tíma.
Sláðu inn regnbogatöflurnar
Regnbogatöflur eru í grundvallaratriðum gríðarstór mengi af fyrirfram reiknuðum töflum sem eru fylltir með kjötkássa gildi sem eru fyrirfram passuð við möguleg lykilorð lykilorðs. Regnbogatöflurnar leyfa í raun tölvusnápur að snúa við hraðakstursaðgerðinni til að ákvarða hvað einfaldasta lykilorðið gæti verið. Það er mögulegt að tvö mismunandi lykilorð leiði til sama kjötkássa svo það er ekki mikilvægt að komast að því hvað upphaflega lykilorðið var, svo framarlega sem það hefur sama kjötkássa. Einfalt lykilorð lykilorðsins er kannski ekki einu sinni það sama lykilorð sem notandinn bjó til, en svo lengi sem hassið passar, þá skiptir ekki máli hvað upphaflega lykilorðið var.
Notkun regnbogatöflna gerir kleift að sprunga lykilorð á mjög skömmum tíma samanborið við aðferðir við skepna-afl, en afkoman er sú að það þarf mikla geymslu (stundum terabæt að stærð) til að halda regnbogatöflunum sjálfir, geymsla þessa dagana er mikil og ódýr svo þessi viðskipti er ekki eins stór samningur og það var fyrir áratug síðan þegar terabyte drif voru ekki eitthvað sem þú gætir sótt á staðnum Best Buy.
Tölvusnápur getur keypt fyrirfram útreiknaðan regnbogatöflu til að sprunga lykilorð viðkvæmra stýrikerfa eins og Windows XP, Vista, Windows 7 og forrit sem nota MD5 og SHA1 sem aðgangsorð fyrir lykilorð með lykilorði (margir forritarar vefforrita nota enn þessa hassleiðarreikninga).
Hvernig á að vernda sjálfan þig gegn regnbogatöflum sem byggja á lykilorðsárásum
Við viljum að það væru betri ráð varðandi þetta fyrir alla. Okkur langar til að segja að sterkara lykilorð myndi hjálpa, en þetta er í raun ekki satt vegna þess að það er ekki veikleiki lykilorðsins sem er vandamálið, það er veikleiki sem tengist hraðakstursaðgerðinni sem er notaður til að dulkóða lykilorð.
Besta ráðið sem við getum veitt notendum er að vera í burtu frá vefforritum sem takmarka lengd lykilorðs þíns við stuttan fjölda stafa. Þetta er skýrt merki um viðkvæmar reglur um staðfesting lykilorðs í skólanum. Útbreiddur lengd og flókið lykilorð getur hjálpað svolítið, en er ekki tryggt verndarform. Því lengur sem lykilorðið þitt er, því stærri yrðu Rainbow töflurnar að vera til að sprunga það, en tölvusnápur með mikið fjármagn getur samt náð þessu.
Ráð okkar um hvernig á að verjast Rainbow töflum er raunverulega ætlað fyrir forritara og kerfisstjóra. Þeir eru í fremstu víglínu þegar kemur að því að vernda notendur gegn þessari tegund árása.
Hér eru nokkur ráð til að verja gegn árásum Rainbow Table:
- Ekki nota MD5 eða SHA1 í aðgerðinni sem hefur aðgang að lykilorði. MD5 og SHA1 eru gamaldags reiknirit með flýtiritun fyrir lykilorð og flest regnbogatöflur sem notuð eru til að sprunga lykilorð eru byggð til að miða á forrit og kerfi með þessum hraðskreiðum aðferðum. Íhugaðu að nota nútímalegri hraðskreiðar aðferðir eins og SHA2.
- Notaðu dulmáls "Salt" í hraðakstri við lykilorðið þitt. Ef þú bætir dulmálsalti við lykilorð með lykilorðinu þínu, mun það verja gegn notkun Rainbow töflna sem notuð eru til að sprunga lykilorð í forritinu þínu. Til að sjá nokkur kóða um dæmi um hvernig á að nota dulmálsalt til að hjálpa „Rainbow-Proof“ umsókn þinni, vinsamlegast kíktu á WebMasters By Design síðuna sem er með frábæra grein um efnið.
