Ne lasu ilian simplan nomon malsaĝi vin, ĉi tiuj aferoj estas timiga.
Dum vi povus pensi pri Rainbow Tables kiel eklektika koloraj mebloj, tiuj ne estas tiuj, kiujn ni diskutos. La Ĉielarkaj Tabeloj, kiujn ni parolas, estas uzataj por kraĉi pasvortojn kaj ankoraŭ estas alia ilo en la iama kreskanta arsenalo.
Kio estas la ĉielarko-tabloj? Kiel povus io kun tiel bela kaj kruela nomo esti tiel malutila?
La Baza Koncepto Malantaŭ Ĉielarkaj Tabloj
Mi estas malbona ulo, kiu ĵus kunmetis dikfingron en servilon aŭ laboran stacidomon, rekomencis ĝin kaj kuris programon, kiu kopias la sekurecan datumbazan dosieron enhavantan uzantnomojn kaj pasvortojn al mia dikfingro.
La pasvortoj en la dosiero estas ĉifrita do mi ne povas legi ilin. Mi devos rompi la pasvortojn en la dosiero (aŭ almenaŭ la administrant-pasvorton) por ke mi povu uzi ilin por aliri la sistemon.
Kio estas la ebloj por fendanta pasvortojn? Mi povas provi kaj uzi brute-fortan pasvortan kraketan programon kiel John the Ripper, kiu frapas ĉe la pasvorto, provante diveni ĉiun kombinon de pasvorto. La dua opcio estas ŝarĝi pasvorton elkreskantajn vortojn enhavantaj centojn da miloj da komune uzataj pasvortoj kaj vidu ĉu ĝi ricevas sukcesojn. Ĉi tiuj metodoj povas preni semajnojn, monatojn aŭ eĉ jarojn, se la pasvortoj sufiĉas.
Kiam pasvorto estas "provita" kontraŭ sistemo, ĝi "perdis" per ĉifrado tiel ke la vera pasvorto neniam sendas klaran tekston tra la konekto. Ĉi tio malhelpas alekojn de interkaptado de la pasvorto. La hash de pasvorto kutime aspektas kiel rubo kaj estas tipe malsama longo ol la originala pasvorto. Via pasvorto povus esti "shitzu" sed la hash de via pasvorto aspektus kiel "7378347eedbfdd761619451949225ec1".
Por kontroli uzanton, sistemo prenas la valoron de hash kreita de la pasvorta hava funkcio en la kliento komputilo kaj komparas ĝin al la hash-valoro konservita en tablo sur la servilo. Se la haroj egaliĝas, tiam la uzanto estas aŭtentigita kaj donita aliro.
Ŝalti pasvorton estas 1-maniero funkcio, kio signifas, ke vi ne povas malĉifri la hashon por vidi, kio estas la klara teksto de la pasvorto. Ne ekzistas ŝlosilo por malkifri la hash post kiam ĝi estas kreita. Ne ekzistas "decodificilo" se vi volas.
Pasvortaj kroĉaj programoj funkcias simile al la ensalutprocezo. La fendanta programo komenciĝas prenante laŭtekstajn pasvortojn, kurante ilin per hash-algoritmo, kiel ekzemple MD5, kaj tiam komparas la hash-eliron kun la hashes en la ŝtelita pasvorto. Se ĝi trovas matĉon tiam la programo frapis la pasvorton. Kiel ni diris antaŭe, ĉi tiu procezo povas daŭri tre longe.
Eniru la Ĉielarkajn Tabulojn
Rainbow Tables estas esence grandegaj aroj de precomputitaj tabloj plenplenaj de hash-valoroj, kiuj estas antaŭordigitaj al eblaj platekstaj pasvortoj. La Ĉielarkaj Tabloj esence permesas piracistojn reverti la haŭtan funkcion por determini kion la plata teksto povus esti. Ĝi eblas du malsamajn pasvortojn por rezultigi la saman hash, do ne gravas trovi, kio estas la originala pasvorto, kondiĉe ke ĝi havas la saman hashon. La pasvorto de pasvorto eble ne estas eĉ la sama pasvorto kreita de la uzanto, sed kondiĉe ke la hash estas egalita, tiam ĝi ne gravas, kia estas la originala pasvorto.
La uzo de Rainbow Tables permesas pasvortojn esti fenditaj en tre mallonga tempo komparita kun brute-fortaj metodoj, tamen la komerco estas ke ĝi multas da stokado (kelkfoje Terabytes) por teni la Rainbow Tables mem, La stokado de ĉi tiuj tagoj estas multekosta kaj malmultekosta, tial ĉi tiu komercaĵo ne estas tiel granda interkonsento kiel antaŭ jardeko, kiam terabyta diskoj ne estis io, kion vi povus elekti ĉe la loka Best Buy.
Hakistoj povas aĉeti antaŭkomputilitajn Ĉielarĝajn Tabulojn por kraĉas pasvortojn de vundeblaj mastrumaj sistemoj kiel ekzemple Windows XP, Vista, Windows 7, kaj aplikoj uzante MD5 kaj SHA1 kiel ilian pasvortan haŭcan mekanismon (multaj teĥnivelaj programistoj ankoraŭ uzas ĉi tiujn haltajn algoritmojn).
Kiel protekti vin kontraŭ ĉielarĝaj tabeloj-bazitaj pasvortaj atakoj
Ni deziras pli bonajn konsilojn pri ĉi tiu por ĉiuj. Ni ŝatus diri, ke pli forta pasvorto helpus, sed ĉi tio ne estas vere vera ĉar ĝi ne estas la malforteco de la pasvorto, kio estas la problemo, ĝi estas la malforteco asociita kun la funkcio de haŭto uzata por kodi pasvorton.
La plej bonaj konsiloj, kiujn ni povas doni al la uzantoj, restu for de retaj aplikoj, kiuj limigas vian pasvorton ĝis mallonga nombro da signoj. Ĉi tio estas klara signo de vundeblaj malnovaj lernejaj pasvortaj aŭtentikaj rutinoj. Etendita pasvorto longeco kaj komplekseco eble helpas iom, sed ne estas garantiita formo de protekto. Ju pli longe via pasvorto estas, la pli granda la Rainbow Tables devus esti fendeti ĝin, sed hakisto kun multaj rimedoj ankoraŭ povas plenumi ĉi tion.
Nia konsilo pri kiel protekti kontraŭ Rainbow Tables estas vere intencita por aplika programistoj kaj sistemaj administrantoj. Ili estas sur la antaŭaj linioj kiam ĝi klopodas protekti uzantojn kontraŭ ĉi tiu tipo de atako.
Jen kelkaj programistoj pri defendado kontraŭ Rainbow Table-atakoj:
- Ne uzu MD5 aŭ SHA1 en via pasvorta hava funkcio. MD5 kaj SHA1 estas malnovaj pasvortaj haltaj algoritmoj kaj la plej multaj ĉielarkaj tabloj uzataj por fendi pasvortojn estas konstruitaj por celigi aplikojn kaj sistemojn uzante ĉi tiujn metodojn. Konsideru uzi pli modernajn haŭtajn metodojn kiel SHA2.
- Uzu kripton "Salo" en via pasvorta rulino. Aldonante kripta Salo al via pasvorta hava funkcio helpos defendi kontraŭ la uzo de Rainbow Tables uzataj por fendi pasvortojn en via apliko. Por vidi iujn kodajn ekzemplojn pri kiel uzi ĉifran salon por helpi "Rainbow-Proof" vian aplikaĵon, kontrolu la TTT-ejon de Retejoj por Dezajno, kiu havas grandan artikolon pri la temo.
Se vi volas vidi, kiel hakistoj realigas pasvortan atakon uzante Rainbow Tables, vi povas legi ĉi tiun bonegan artikolon pri kiel uzi ĉi tiujn teknikojn por rekuperi viajn proprajn pasvortojn.