Loosst se hir süchteg Nennensloosst Iech net, dës Dinge sinn Angscht.
Wann Dir u Rainbow Tables als eklengt faarweg Miwwelen denkt, da sinn déi déi mer net diskutéieren. D'Rainbow Tables, déi mir schwätzen, sinn benotzt fir Passwierder ze knacken an sinn nach e weidert Instrument am Hacker ëmmerhi.
Wat sinn d'Heck sinn Rainbow Tables? Wéi kéint eppes mat sou engem séissen a cuddly Numm esou schued sinn?
Den Grondkonzept Hanner der Rainbow Tables
Ech sinn e béise Guy deen just en Daach an engem Server oder enger Workstation ugeschloss huet, hunn et opgestallt an e Programm entwéckelt deen d'Dateie vun der Datebank ofgedeelt gëtt, déi Usernumm a Passwuert mat mengem Daachvirgang enthält.
D'Passwierder an der Datei ginn esou verschlësselt datt ech se net liesen. Ech muss d'Passwuert an der Datei (oder op d'mannst de Administratorpasswuert) knacken, sou datt ech se benotze kënnt fir de System ze kréien.
Wat sinn d'Optiounen fir Rëssespaassegungen? Ech ka probéieren a gebrauchte Brutto-Force Passwuert wéi John the Ripper, deen an der Passwuert erauskënnt, versicht et iertiv all méiglech Kombinatioun vum Passwuert ze erréiren. Déi zweet Optioun ass fir en Passwuertentréckwörterbuch mat honnerte vu ville vun de benotzte Passwuert ze benotzen an ze kucken, ob et keng Hits kritt. Dës Methoden kënnen Wochen, Méint, oder souguer Joeren daueren wann d'Passwierder staark genuch sinn.
Wann e Passwuert "versicht" géint e System gëtt et "Hashed" mat Verschlësselung fir datt d'aktuell Passwuert nostinn an de klengen Text iwwert d'Kommunikatiounslinn geschéckt gëtt. Dëst vermeit e Feeler aus dem Passwuert ze verhënneren. De Hash of a Passwuert kuckt normalerweis aus wéi e Bunch vu Müll a gëtt normalerweis eng aner Längt wéi dat ursprénglecht Passwuert. Äert Passwuert kann "shitzu" sinn, awer d'Hash vum Äert Passwuert géif iergendeng eppes kucken wéi "7378347eedbfdd761619451949225ec1".
Fir e Benotzer ze préifen, e System hëlt den Hash-Wäert vun der Passwunnegfunktioun op dem Clientcomputer erfaasst a vergläicht et mat dem Hash-Wäerter an enger Tabell um Server. Wann de Hash matdeelen, da gëtt de Benotzer authentifizéiert a gewaart Zougang.
Hashing e Passwuert ass eng 1-Wee Funktioun, wat heescht, datt Dir den HÄR net entschléisse kënnt fir ze kucken wat de klengen Text vum Passwuert ass. Et ass kee Schlëssel fir d'Héichschneider ze entschäerfen wann e geschafe gëtt. Et gëtt kee "Decoderring" wann Dir wëllt.
Passwuert verdrécke Programmer op eng ähnlech Manéier fir de Login-Prozess. De Kriibsprogramm fänkt u Kloertext ze sichen, duerch e Hash Algorithmus, wéi MD5, ze lafen a vergläicht d'Hashausgaang mat den Hetzer an der gestierwener Passwuert ze vergläichen. Wann et e Match fonnt fënnt, huet de Programm de Passwuert ugefrot. Wéi mir virdru gesot hunn, kann dëse Prozess eng ganz laang Zäit huelen.
Gitt d'Rainbow Tables
Rainbow Tables sinn gréisstendeels grouss Sätze vun Precomputéierten mat gefeelt Wäerter, déi mat ville Matchnummern Passwuert ugepasst sinn. D'Rainbow Tabellen erlaaben haaptsächlech Hacker fir d'Hashingfunktion zréckzeféieren fir ze bestëmmen wat de Klangtext-Passwuert ass. Et ass méiglech datt zwee verschidde Passwuert fir déiselwecht Hast z'erreechen ass, sou datt et net wichteg ass ze kucken wat den urspréngleche Passwuert gouf, soulaang wéi et déi selwecht Strooss huet. De Klangtext-Passwuert kann net esouguer de selwechte Passwuert dat vum Benotzer erstallt gouf, awer soulaang wéi den Hash mat ugepasst ass, ass et net egal wat fir den urspréngleche Passwuert gouf.
D'Verwäertung vun de Rainbow Tables erlaabt Passwänze fir eng ganz kuerz Zäit ze verklengeren wéi d'brute-force Methoden. De Commerce ass awer datt et vill Späicheren (heiansdo Terabytes) brauche fir de Rainbow Tables selwer ze halen, D'Lagerung dës Deeg ass reichlech a bëlleg, sou datt dëst Ofhandlungen net esou vill en Deal ass wéi et schonn zënter eng Dekade war, wann Terabyte fiert net eppes wat Dir kaaft beim Best Buy.
Hackers kënnen Präcomputer Rainbow Tables fir Kuckt Passwierder vu vulnerabel Betriebssystemen wéi Windows XP, Vista, Windows 7 an Applikatiounen ka benotzen mat MD5 an SHA1 als hire Passwuertmechanismus (vill Entwéckler vun Web Applikatiounen hunn ëmmer dës Hacks Algorithmen benotzen).
Wéi Dir Iech géint Attacken vu Regenbog Tabellenattacken schützt
Mir wënschen et Besser Berodungen iwwert dëst fir jiddereen. Mir wëllen dat soen datt e méi staarken Passwuert hëllefe soll, awer dat ass net wierklech richteg, well et net d'Schwächt vum Passwuert dat ass de Problem, et ass d'Schwächheet déi mat der Hashingfunktion verbonnen ass, fir e Passwuert ze verschlësselen.
Déi beschte Rotschléi, déi mir kënne Benotzer erlaabt sinn, weg vu Websäiten ze bleiwen déi Är Passwuert laang op eng kleng Zuel u Charakter limitéieren. Dëst ass e kloer Zeeche vu vulnerabel al Autallogistik Authentifizéierung. Verlängert Passwuert a Komplexitéit ka vläicht e bëssen hëllefen, awer net eng garantéiert Schutzform. Wat méi laang wéi Äert Passwuert ass, wat méi grouss ass de Rainbow Tables géifen ze knacken, mä en Hacker mat vill Ressourcen kann dat nach ëmmer maachen.
Eis Rotschléi fir wéi Dir géint Rainbow Tables ze verteidegen ass wierklech fir Applikatioun Entwéckler a Systemadministratioun gemeet. Si sinn op de Frontlinnen, wann et ëm d'Nëtzlechkeet géint dës Art Attack kënnt.
Hei sinn e puer Entwéckler Tipps iwwer d'Verteidegung géint Rainbow Table Attacken:
- Benotzt net MD5 oder SHA1 an Ärer Passwuertofhängegkeet. MD5 an SHA1 sinn versteet Passwuert Heng Algorithmen an déi meescht Reebosch Dëscher déi benotzt ginn fir ze knacken Paiementer gebaut ginn fir Zieler fir Applikatiounen an Systemer déi dës Hash Methoden zielt. Bedenkt mat méi modernen Hënnmethoden wéi SHA2.
- Benotzt e kryptographesche "Salz" an Äert Passwuert verännert Routine. Dir kënnt eng Kryptografie Salz fir Äert Passwuertfunktion hëllefe fir géint d'Verwäertung vun den Rainbow Tables ze verteidegen, fir Passwierder ze benotzen an Ärer Demande. Fir e puer Kodéierbeispiller ze gesinn, wéi een kryptographesche Salz benotzt ka ginn, fir "Rainbow-Proof" Är Applikatioun ze hëllefen, kuckt Iech d'WebMasters By Design Site mat engem grousse Artikel iwwer dëst Thema.
Wann Dir wëllt kucken, wéi Hackeren e Passwuertfechter mam Rainbow Tables maachen, kënnt Dir dësen exzellente Artikel iwwer dës Methoden benotzen fir Är eegen Passwuert ze erhalen.