Peidiwch â gadael i'ch enw braf eich ffwlio, mae'r pethau hyn yn ofnus.
Er y gallech feddwl am Rainbow Tables fel dodrefn lliwgar eclectig, nid dyma'r rhai yr ydym yn bwriadu eu trafod. Defnyddir y Tables Rainbow yr ydym yn sôn amdanynt i gywiro cyfrineiriau ac maent yn offeryn eto yn arsenal sy'n tyfu erioed yr haciwr .
Beth yw'r heck yn Rainbow Tables? Sut y gallai rhywbeth ag enw mor giwt a chuddiog fod mor niweidiol?
Y Cysyniad Sylfaenol Tu ôl i Fyrddau Rainbow
Rwy'n dyn drwg sydd wedi plygu gyriant bawd i mewn i weinyddwr neu weithfan, wedi ei ailgychwyn, a rhedeg rhaglen sy'n copïo ffeil y gronfa ddata ddiogelwch sy'n cynnwys enwau defnyddwyr a chyfrineiriau i fy nghychwyn bawd.
Mae'r cyfrineiriau yn y ffeil wedi'u hamgryptio felly ni allaf eu darllen. Bydd yn rhaid imi graci'r cyfrineiriau yn y ffeil (neu o leiaf y cyfrinair gweinyddwr) fel y gallaf eu defnyddio i gael mynediad i'r system.
Beth yw'r opsiynau ar gyfer cywiro cyfrineiriau? Gallaf geisio defnyddio rhaglen cracio cyfrinair briw-grym megis John the Ripper, sy'n plygu i ffwrdd yn y ffeil cyfrinair, gan geisio dyfalu pob cyfuniad posibl o gyfrinair. Yr ail ddewis yw llwytho geiriadur cracio cyfrinair sy'n cynnwys cannoedd o filoedd o gyfrineiriau a ddefnyddir yn gyffredin a gweld a yw'n cael unrhyw drawiadau. Gall y dulliau hyn gymryd wythnosau, misoedd, neu hyd yn oed flynyddoedd os yw'r cyfrineiriau'n ddigon cryf.
Pan fo cyfrinair yn "geisio" yn erbyn system, mae "wedi cipio" yn defnyddio amgryptio fel nad yw'r cyfrinair gwirioneddol byth yn cael ei anfon mewn testun clir ar draws y llinell gyfathrebu. Mae hyn yn rhwystro rhagbwyso'r cyfrinair. Fel arfer mae hash cyfrinair yn edrych fel criw o garbage ac fel arfer mae hyd arall na'r cyfrinair gwreiddiol. Efallai y bydd eich cyfrinair yn "shitzu" ond byddai hash eich cyfrinair yn edrych fel rhywbeth "7378347eedbfdd761619451949225ec1".
Er mwyn gwirio defnyddiwr, mae system yn cymryd y gwerth hash a grëwyd gan y swyddogaeth golchi cyfrinair ar y cyfrifiadur cleient a'i gymharu â'r gwerth hash a gedwir mewn tabl ar y gweinydd. Os yw'r hashes yn cyfateb, yna caiff y defnyddiwr ei ddilysu a'i ganiatáu mynediad.
Mae gosod cyfrinair yn swyddogaeth 1-ffordd, sy'n golygu na allwch ddadgryptio'r hash i weld beth yw testun clir y cyfrinair. Nid oes unrhyw allwedd i ddadgryptio'r hash ar ôl iddo gael ei greu. Nid oes "cylch ffosydd" os gwnewch chi.
Mae rhaglenni cracio cyfrinair yn gweithio mewn ffordd debyg i'r broses fewngofnodi. Mae'r rhaglen gracio yn dechrau trwy gymryd cyfrineiriau cyfyng, gan eu rhedeg trwy algorithm hash, fel MD5, ac wedyn mae'n cymharu'r allbwn hash gyda'r hashes yn y ffeil cyfrinair a ddwynwyd. Os bydd yn dod o hyd i gêm yna mae'r rhaglen wedi cracio'r cyfrinair. Fel y dywedasom o'r blaen, gall y broses hon gymryd amser maith iawn.
Rhowch y Tablau Rainbow
Yn y bôn, mae setiau enfawr yn cynnwys setiau anferth o fyrddau sydd wedi'u llwytho ymlaen llaw wedi'u llenwi â gwerthoedd hash sy'n cael eu cyfateb ymlaen llaw â chyfrineiriau plaintext posibl. Yn y bôn, mae'r Tablau Rainbow yn caniatáu i hacwyrwyr wrthdroi'r swyddogaeth haenau i benderfynu beth fyddai'r cyfrinair plaintext. Mae'n bosib i ddau gyfrineiriau gwahanol arwain at yr un hash, felly nid yw'n bwysig darganfod beth oedd y cyfrinair gwreiddiol, cyn belled ag y bo'r un hash. Efallai na fydd y cyfrinair plaintext hyd yn oed yr un cyfrinair a grëwyd gan y defnyddiwr, ond cyhyd â bod y hash yn cyfatebol, does dim ots beth oedd y cyfrinair gwreiddiol.
Mae'r defnydd o Rainbow Tables yn caniatáu i gyfrineiriau gael eu cracio mewn cyfnod byr iawn o'i gymharu â dulliau grym-brwydr, fodd bynnag, y diffodd yw ei bod yn cymryd llawer o storio (weithiau Terabytes) i gynnal y Tables Rainbow eu hunain, Mae storio'r dyddiau hyn yn ddigon ac yn rhad, felly nid yw'r fasnach hon mor ddidrafferth ag yr oedd yn ddegawd yn ôl pan nad oedd gyrru terabyte yn rhywbeth y gallech ei godi yn y Prynu Gorau lleol.
Gall hacwyr brynu Tables Rainbow cyn-gyfrifiadurol ar gyfer cywiro cyfrineiriau systemau gweithredu bregus fel Windows XP, Vista, Windows 7, a cheisiadau gan ddefnyddio MD5 a SHA1 fel eu mecanwaith golchi cyfrinair (mae llawer o ddatblygwyr cais gwe yn dal i ddefnyddio'r algorithmau golchi hyn).
Sut i Diogelu Eich Hun Yn erbyn Ymosodiadau Cyfrinair yn seiliedig ar Dablau Enfys
Dymunwn fod gwell cyngor ar yr un hwn i bawb. Hoffem ddweud y byddai cyfrinair cryfach yn helpu, ond nid yw hyn yn wirioneddol wir oherwydd nid gwendid y cyfrinair yw'r broblem, dyma'r gwendid sy'n gysylltiedig â'r swyddogaeth haenu a ddefnyddir i amgryptio cyfrinair.
Y cyngor gorau y gallwn ei roi i ddefnyddwyr yw aros oddi wrth geisiadau gwe sy'n cyfyngu hyd eich cyfrinair i nifer fach o gymeriadau. Mae hwn yn arwydd clir o drefniadau dilysu cyfrinair hen ysgol agored i niwed. Gallai hyd cyflymder a chymhlethdod estynedig helpu ychydig, ond nid yw'n warantedig o ddiogelwch. Po hiraf y bydd eich cyfrinair, y mwyaf y byddai'n rhaid i'r Tablau Rainbow fod i'w gracio, ond gall haciwr gyda llawer o adnoddau barhau i gyflawni hyn.
Mae ein cyngor ar sut i amddiffyn yn erbyn Rainbow Tables mewn gwirionedd yn golygu datblygwyr cais a gweinyddwyr system. Maent ar flaen y gad o ran diogelu defnyddwyr rhag y math hwn o ymosodiad.
Dyma rai awgrymiadau datblygwyr ar amddiffyn yn erbyn ymosodiadau Tabl Enfys:
- Peidiwch â defnyddio MD5 neu SHA1 yn eich swyddogaeth golchi cyfrinair. Mae MD5 a SHA1 yn algorithmau golchi cyfrinair hynod ac mae'r rhan fwyaf o'r tablau enfys a ddefnyddir i graci cyfrineiriau wedi'u hadeiladu i dargedu ceisiadau a systemau gan ddefnyddio'r dulliau golchi hyn. Ystyriwch ddefnyddio dulliau golchi mwy modern fel SHA2.
- Defnyddiwch "Halen" cryptograffig yn eich trefn gwallt cyfrinair. Bydd ychwanegu Halen cryptograffig at eich swyddogaeth golchi cyfrinair yn helpu i amddiffyn yn erbyn y defnydd o Rainbow Tables a ddefnyddir i graci cyfrineiriau yn eich cais. I weld rhai enghreifftiau codio o sut i ddefnyddio halen cryptograffig i helpu "Cais Rainbow-Proof" eich cais, edrychwch ar wefan WebMasters By Design sydd ag erthygl wych ar y pwnc.
Os ydych chi eisiau gweld sut mae hacwyr yn perfformio ymosodiad cyfrinair gan ddefnyddio Rainbow Tables, gallwch ddarllen yr erthygl ragorol hon am sut i ddefnyddio'r technegau hyn i adfer eich cyfrineiriau eich hun.