Litte har sûkelige namme jo net nûmje, dizze dingen binne skriklik.
Wylst jo tinke oan Rainbow Tables as eklektysk kleurich meubels, binne dy net de iene dy't wy besykje. De Rainbow Tables dy't wy prate oer wurde brûkt om wachtwurden te knipen en binne noch in oare ark yn 'e harkers dy't altyd groeie arsenal.
Wat binne de heuvels binne Rainbow Tables? Hoe kin dat wat mei sa'n sûkelige en kûleartige namme sa swak wêze?
It Basisûntwerp Behind Rainbow Tables
Ik bin in minne guy dy't krekt in pylktocht yn in server of workstation stutsen hat, opnijboate, en rûn in programma dat kopiearret de feiligensdatabank bestân mei brûkersnammen en wachtwurden nei myn thumbapproach.
De wachtwurden yn it bestân binne fersifere, sadat ik se net lêze kin. Ik moat de wachtwurden yn 'e bestân (of op syn minst it wachtwurd fan administraasier) brekke, sadat ik se brûke kin om tagong te krijen ta it systeem.
Wat binne de opsjes foar cracking wachtwurden? Ik kin probearje en brûke in breed-krêftige passekrêftprogramma lykas John the Ripper, dy't fuortspield by it wachtwurdgebrûk, en besykje iteretocht alle mooglike kombinaasje fan in wachtwurd te missen. De twadde opsje is om in wachtwurd te krijen mei wierskynlik wurdboek mei hûnderten tûzen brûkte wachtwurden te brûken en sjoch as it in fout is. Dizze metoaden kinne wiken, moannen, of sels jierren duorje as de wachtwurken sterk genôch binne.
As in wachtwurd "besocht" tsjin in systeem is it "hathed" mei fersifering sadat it feitlike wachtwurd noait yn 'e dúdlike tekst stjoerd wurdt troch de kommunikaasjegroep. Dit foarkomt eavesdroppers fan it wachtwurd fan it wachtwurd fan it wachtwurd. It hân fan in wachtwurd is gewoanlik as in bosk fan mûrts en liket in oare ling as it orizjinele wachtwurd. Jo wachtwurd kin "shitzu" wêze, mar it hân fan jo wachtwurd sil wat sjogge lykas "7378347eedbfdd761619451949225ec1".
Om in brûker te befestigjen, nimt in systeem de hânwearde dat makke is troch de wachtwurd-hingjende funksje op 'e kliïntkompjûter en fergelike mei de hânwearde dat bewarre is yn in tabel op' e tsjinner. As de hyses oerienkomme, dan wurdt de brûker authentisearre en tagong tagong.
Hashing in wachtwurd is in funksje fan 1-funksje, dat betsjuttet dat jo de hân net ûntsiferje om te sjen hokker dúdliker tekst fan it wachtwurd is. Der is gjin kaai om de hys te ûntsiferjen as it krekt is. Der is gjin "dekodierring" as jo wolle.
Password cracking programma's wurkje op in fergelykbere wize nei it oanmeldproses. It risselprogramma begjint mei it meitsjen fan plaintext-passazjiers, it rint troch in Hash-Algoritme, lykas MD5, en ferwiist dan de Hash-útfier mei de Hashes yn de stelde wachtwurd-bestân. As it in wedstriid fynt, hat it programma it wachtwurd wekker. As wy earder sein hawwe, kin dit proses in hiel lange tiid nimme.
Fier de Rainbow Tables yn
Rainbow Tables binne yn haadsaak geweldige sets fan prekompjutte tafels folge mei hathwearden dy't foarôfgeand binne oan wierskynlike wachtwurden wachtwurden. De Rainbow Tables lizze yn 't foarste plak hackers om de hingjenfunksje werom te setten om te bestimmen hokker fluchtekst wachtwurd wêze kin. It is mooglik om twa ferskillende wachtwurden te ûntstean yn deselde hân, dus it is net wichtich om te finen hokker oarspronklik wachtwurd wie, sa lang as it deselde hân hat. It plaintext wachtwurd kin net sels itselde wachtwurd wêze dat troch de brûker makke is, mar sa lang as de hân is oanjûn, dan makket it neat foar wat it orizjinele wachtwurd wie.
It gebrûk fan Rainbow Tables soarget foar wachtwurden yn 'e koarte tiid te krijen yn fergeliking mei brute-force-metoaden, lykwols de ôfhannelje is dat it in protte opslach nedich is (soms Terabytes) om de Rainbow Tables sels te hâlden, De opslach dizze dagen is reële en goedkeap, sadat dizze ôfhannelje net sa grut wie as it wie in desade jier lyn doe't terabyte-driven net wat binne dat jo op it pleatslik Best Buy ophelje kinne.
Hackers kinne prekompensearre Rainbow Tables te keapen foar krêftende wachtwurden fan kwetsbere bestjoeringssystemen, lykas Windows XP, Vista, Windows 7, en applikaasjes mei help fan MD5 en SHA1 as harren wachtwurde meganisme (in soad web-ûntwikkelders brûke dizze hinging algoritmen noch).
Hoe beskermje jo tsjin Rainbow Tables-basearre wachtwurdûntfallen
Wy winskje dat der bettere advizen hawwe oer dizze ien foar elkenien. Wy wolle graach sizze dat in heulere wachtwurd helpt, mar dit is net wier, om't it net de swakke fan it wachtwurd is dat it probleem is, it is de swakke ferbûn mei de hollingfunksje dy't brûkt wurdt om in wachtwurd te fersiferjen.
It bêste advys kinne wy brûkers jaan om fan websiden te bliuwen dy't jo wachtwurd lingte beheine op in koarte oantal karakters. Dit is in dúdlik teken fan kwetsber âldere skoalwachtwurd-ferifikaasje routines. Extended passage length and complexity may help a bit, but is not a guaranteed form of protection. Hoe langer jo wachtwurd is, hoe grutter dan de Rainbow Tables wurde moat wurde, mar in hacker mei in protte boarnen kin dit noch meitsje.
Us advys oer hoe te ferdigenjen tsjin Rainbow Tables is echt bedoeld foar applikaasje-ûntwikkelders en systemadministrators. Se binne op 'e frontline as it giet om it beskermjen fan brûkers tsjin dizze soarte oanfal.
Hjir binne guon ûntwikkelders tips oer ferdigenjen tsjin Rainbow Table oanfallen:
- Moatte jo MD5 of SHA1 net brûke yn jo wachtwurd-hinderfunksje. MD5 en SHA1 binne ferâldere wachtwurden algoritmen en de measte regenbôch-tafels dy't brûkt wurde om te kontrolearjen fan wachtwurden te bewarjen foar doel applikaasjes en systemen dy gebrûk meitsje fan dizze hassingmetoaden. Bysûndere moderne hollingmetoaden lykas SHA2.
- Brûk in kryptografysk "Sâlt" yn jo wachtwurd hânprogramma. It oanmeitsjen fan in kryptografyske sâlt oan jo wachtwurd hingjen funksjes helpe te ferdigenjen tsjin it gebrûk fan Rainbow Tables dy't brûkt wurde om wachtwurden yn jo applikaasje te passen. Om wat kodearringsbylden te besjen hoe't jo in kryptografyske sâlt brûke om jo "Applikaasje" Rainbow-Proof te helpen, kontrolearje jo de webside fan WebMasters By Design dy't in grut artikel hat oer it ûnderwerp.
As jo wolle hokker hackers in wachtwurdûntfal brûke mei help fan Rainbow Tables, kinne jo dit poerbele artikel lêze oer hoe't jo dizze techniken brûke om jo eigen wachtwurden werom te heljen.