اجازه ندهید که نام زیبا آنها شما را فریب دهند، اینها ترسناک هستند.
در حالی که شما ممکن است از Tabbed Rainbow به عنوان مبلمان رنگارنگ رنگی فکر کنید، آنهایی که ما در حال بحث در مورد آن نیستیم. جداول رنگین کمان که در مورد آن صحبت می کنیم، برای رمزگشایی کلمات عبور استفاده می شود و ابزار دیگری در زرادخانه فزاینده هکرها است .
چه رنگین کمان قرمز است؟ چگونه می توان چیزی با چنین نام ناز و خوش تیپ را بسیار مضر دانست؟
مفهوم پایه پشت جداول رنگین کمان
من یک مرد بد هستم که فقط یک درایو شارژ را به یک سرور یا ایستگاه کاری متصل کرده است، آن را راه اندازی مجدد کرده، و برنامه ای را اجرا می کند که فایل پایگاه داده امنیتی را که حاوی نام کاربری و کلمه عبور است به دیسک نهایی من کپی می کند.
گذرواژهها در فایل رمزگذاری شدهاند، بنابراین نمیتوانم آنها را بخوانم. من باید رمزهای عبور را در فایل (یا حداقل رمز عبور مدیر) خراب کنم تا بتوانم از آنها برای دسترسی به سیستم استفاده کنم.
گزینه هایی برای شکستن گذرواژه ها چیست؟ من می توانم از یک برنامه crack crack نرم افزاری مانند John the Ripper استفاده کنم که در فایل رمز عبور خراب می شود و تلاش می کند تا هر ترکیب احتمالی رمز عبور را به طور تکراری حدس بزند. گزینه دوم این است که کلمه کلیدی خرابکاری کلمه عبور را که حاوی صدها هزار کلمه عبور رایج است را بارگیری کنید و ببینید آیا هر بار بازدید می شود. این روش ها می تواند هفته ها، ماه ها یا حتی سال ها طول بکشد، اگر کلمه عبور به اندازه کافی قوی باشد.
هنگامی که یک رمز عبور بر علیه یک سیستم محاکمه می شود، با استفاده از رمزنگاری "هش" می شود، به طوری که رمز عبور واقعی هرگز در متن روشن در خط ارتباطی ارسال نمی شود. این از سپاه پاسداران جلوگیری می کند. هش رمز عبور معمولا به نظر می رسد مانند یک دسته از زباله است و معمولا طول متفاوت از رمز عبور اصلی است. رمز عبور شما ممکن است "shitzu" باشد، اما هش رمز عبور شما چیزی شبیه به "7378347eedbfdd761619451949225ec1" خواهد بود.
برای تأیید کاربر، یک سیستم مقدار هش ایجاد شده توسط عملکرد هش کردن رمز در رایانه مشتری را می گیرد و آن را با مقدار هش ذخیره شده در یک جدول در سرور مقایسه می کند. اگر هش ها مطابقت داشته باشند، پس کاربر تأیید شده و دسترسی به آن داده شده است.
هش کردن یک رمز عبور یک عملکرد یک طرفه است، به این معنی که شما نمی توانید هش را رمزگشایی کنید تا ببینید که متن روشن رمز عبور چیست. هیچ کلیدی برای رمزگشایی هش وجود ندارد پس از آنکه ایجاد شد. اگر شما بخواهید "حلقه رمزگشایی" وجود ندارد.
برنامه های crack cracking به نحوی مشابه با فرآیند ورود به سیستم کار می کنند. برنامه cracking با گرفتن کلمات عبور ساده، با استفاده از الگوریتم های هش مانند MD5 شروع می شود و سپس خروجی هش را با هش ها در فایل رمز عبور به سرقت رفته مقایسه می کند. اگر یک بازی پیدا کند، این برنامه رمز عبور را ترک کرده است. همانطور که قبلا گفتیم، این فرآیند می تواند زمان زیادی طول بکشد.
جداول رنگین کمان را وارد کنید
جداول رنگین کمان اساسا مجموعه های بزرگی از جداول precomputed پر از ارزش های هش است که قبل از همسان با کلمات عبور متن ساده ممکن است. جداول رنگین کمان اساسا هکرها را قادر می سازد تا عملکرد هشیش را معکوس کند تا مشخص شود کدام رمز عبور ساده ممکن است. این امکان وجود دارد که دو کلمه عبور متفاوت به هش یکسان برسد، بنابراین مهم نیست که رمز عبور اصلی، تا زمانی که هش یکسان است، پیدا شود. رمز عبور ساده ممکن است حتی یک رمز عبور مشابه ایجاد شده توسط کاربر باشد، اما تا زمانی که هش سازگار باشد، مهم نیست کدام رمز عبور اصلی است.
استفاده از جداول رنگین کمان اجازه می دهد که کلمه عبور در زمان بسیار کوتاهی در مقایسه با روش های بیرحمانه ترک خورده باشد، با این حال، ترکیب این است که ذخیره سازی زیادی (گاهی ترابایت) برای نگهداری جداول رنگین کمان خود، ذخیره سازی این روزها فراوان و ارزان است، بنابراین این معامله به عنوان یک معامله بزرگ نیست، همانطور که ده سال پیش بود که درایوهای ترابایت چیزی نبود که شما بتوانید در Best Buy Local خریداری کنید.
هکرها می توانند از جداول رنگین کمان پیشاپیش برای خراب شدن کلمه عبور سیستم عامل های آسیب پذیر مانند ویندوز XP، ویستا، ویندوز 7 و برنامه های کاربردی با استفاده از MD5 و SHA1 به عنوان مکانیزم هش کردن رمز عبور خود استفاده کنند (بسیاری از برنامه های کاربردی وب هنوز از این الگوریتم های هش کردن استفاده می کنند).
نحوه محافظت از خودتان در برابر حملات رمز عبور مبتنی بر جداول رنگین کمان
ما آرزو می کنیم مشاوره بهتر برای این یکی برای همه وجود داشته باشد. ما می خواهیم بگوییم که رمز عبور قوی تر کمک خواهد کرد، اما این واقعا درست نیست زیرا ضعف رمز عبور این مشکل نیست بلکه ضعف مربوط به عملکرد هش کردن است که برای رمزگذاری رمز عبور استفاده می شود.
بهترین توصیه ما به کاربران این است که از برنامه های وب دور باشند که طول رمز عبور خود را محدود به تعداد کمی از کاراکتر. این یک نشانه واضح است که روشهای تأیید اعتبار گذرواژه قدیمی آسیب پذیر است. طول و پیچیدگی رمز عبور گسترده ممکن است به کمی کمک کند، اما یک نوع تضمین حفاظت نیست. هرچه گذرواژه شما طولانیتر باشد، بزرگتر باید جداول رنگین کمان آن را ترک کنید، اما یک هکر با منابع زیادی هنوز میتواند این کار را انجام دهد.
توصیه های ما در مورد چگونگی دفاع در برابر جداول رنگین کمان واقعا برای توسعه دهندگان نرم افزار و مدیران سیستم اهمیت دارد. هنگامی که به حفاظت از کاربران در برابر این نوع حمله حمله می کند، آنها در خط مقدم هستند.
در اینجا برخی از نکات توسعه دهنده در دفاع از حملات Rainbow Table:
- از MD5 یا SHA1 در عملکرد هش کردن رمز عبور خود استفاده نکنید. MD5 و SHA1 الگوریتم های هش کردن رمز عبور قدیمی هستند و بیشتر تابلوهای رنگین کمانی که برای رمزگشایی کلمات عبور استفاده می شوند برای هدف گیری برنامه ها و سیستم ها با استفاده از این روش های هش کردن ساخته شده اند. در نظر بگیرید با استفاده از روش های مدرن شبیه سازی مانند SHA2.
- از رمزنگاری "نمک" در حالت هشدار رمز عبور خود استفاده کنید. اضافه کردن یک رمزنگاری Salt به عملکرد هش کردن رمز شما کمک خواهد کرد که در مقابل استفاده از جداول رنگین کمان استفاده شود که برای رمزگشایی کلمات عبور در برنامه شما استفاده می شود. برای دیدن برخی از مثال های برنامه نویسی در مورد چگونگی استفاده از نمک رمزنگاری برای کمک به "Rainbow-Proof" درخواست خود لطفا از WebMasters توسط سایت طراحی شده که دارای یک مقاله عالی در مورد موضوع است.
اگر می خواهید ببینید که چگونه هکرها یک حمله رمز عبور با استفاده از جداول رنگین کمان را انجام می دهند، می توانید این مقاله عالی در مورد چگونگی استفاده از این تکنیک ها برای بازیابی کلمه عبور خود را بخوانید.