इंद्रधनुष तालिकाहरू: तपाईंको पासवर्डको खराब सपना

उनीहरूको प्यारा नाम तपाईंलाई मूर्ख नदिनुहोस्, यी चीजहरू डराउँछन्।

जब तपाई इङ्गेनिक टेब्लेटको इष्टनिक रंगीन फर्नीचरको रूपमा सोच्न सक्नुहुनेछ, ती व्यक्तिहरू हामी छलफल गर्न जाँदै छैनौं। इङ्गेन टेबल्स जुन हामीले बोल्दैछौं पासवर्ड को दर गर्न को लागी प्रयोग गरिन्छ र अझै हकरको सधै बढ्ने शस्त्रागारमा अर्को उपकरण हो।

के इजरायल इजरायल तालिकाहरू के हुन्? यस्तो सुन्दर र cuddly नाम संग कसरी केहि हानिकारक हुन सक्छ?

इंद्रधनुष तालिकाहरूको पछाडि मूल अवधारणा

म एउटा खराब मान्छे हो जसले सर्भर वा कार्यस्थानमा एक थम्बनेल चलाएको छ, यसलाई रिबुट गरियो र एउटा प्रोग्राम चलायो जसले मेरो थम्बनेलमा प्रयोगकर्ता नामहरू र पासवर्डहरू समावेश गर्दछ।

फाइलमा पासवर्ड एन्क्रिप्टेड छन् त्यसैले म तिनीहरूलाई पढ्न सक्दैन। म फाइलमा (वा कम से कम प्रशासक पासवर्ड) तोक्न हुनेछ ताकि म तिनीहरूलाई उपयोग गर्न सक्दिन।

क्याप्चर गर्ने विकल्पहरू के हो? म प्रयास गर्न सक्दछु र ब्रुट-बल पासवर्ड क्र्रेट प्रोग्राम प्रयोग गर्न सक्नुहुन्छ जुन जॉन रिपर, जुन पासवर्ड फाईलमा टाढा छ, यसले पासवर्डको हरेक सम्भव संयोजनको अनुमान लगाउन प्रयास गर्दछ। दोस्रो विकल्पले पासवर्ड क्र्रेकिंग शब्दकोश लोड गर्न चाहन्छ जुन सैकड़ों हजारौं सामान्य प्रयोग गरिएका शब्दहरू छन् र हेर्नुहोस् कि यो कुनै हिट हुन्छ। यी शब्दहरू हप्ता, महिना, वा यहाँ सम्म कि वर्ष लिन सक्छ यदि पासवर्ड पर्याप्त बलियो हुन्छ।

जब एक पासवर्ड "प्रयास" प्रणालीको विरुद्ध हो यो एन्क्रिप्शन प्रयोग गरेर "धोई" को प्रयोग गर्दछ ताकि वास्तविक पासवर्ड कहिल्यै अफलाइन लाइनमा स्पष्ट पाठमा पठाइएन। यसले पासवर्ड अवरोध गर्नबाट बचाउँछ। पासवर्डको हैश सामान्यतया कचराको गुच्छ जस्तो देखिन्छ र सामान्यतया मूल पासवर्ड भन्दा फरक फरक छ। तपाईंको पासवर्ड "shitzu" हुन सक्छ तर तपाईंको पासवर्डको हैस "7378347eedbfdd761619451949225ec1" जस्तै देखिन्छ।

प्रयोगकर्ता प्रमाणिकरण गर्न, प्रणालीले क्लाइन्ट कम्प्यूटरमा पासवर्ड हैशिंग प्रकार्य द्वारा बनाईएको होश मान लिन्छ र सर्वरमा तालिकामा भण्डारण गरिएको हैश मानमा तुलना गर्दछ। यदि हैश म्याच भने, त्यसपछि प्रयोगकर्ता प्रमाणिकरण गरिएको छ र पहुँच प्रदान गर्दछ।

पासवर्ड होशिंग एक 1-मार्ग प्रकार्य हो, यस अर्थ हो कि तपाइँ हैश लाई रद्द गर्न सक्नुहुन्न कि हेर्न को लागी पासवर्ड को स्पष्ट पाठ हो। हालै सिर्जना गरिएको होशलाई गुप्तिकरण गर्न कुनै कुञ्जी छैन। यदि तपाईं चाहानुहुन्छ त्यहाँ कुनै "डिकोडर रिंग" छैन।

पासवर्ड क्र्रेकिंग कार्यक्रम लगइन प्रक्रियाको समान तरिकामा काम गर्दछ। क्रैटिङ प्रोग्रामले लगइनपासवर्ड लिने क्रममा सुरू गर्छ, तिनीहरूलाई ह्याश एल्गोरिदमको माध्यमबाट चलिरहेको छ, जस्तै MD5, र त्यसपछि चोरी पासवर्ड फाइलमा हैशसँग ह्यास आउटपुट तुलना गर्दछ। यदि यो एक मिल्दो फेला पर्यो भने प्रोग्रामले पासवर्ड फटाएको छ। जस्तै हामीले पहिले भन्यौं, यो प्रक्रिया धेरै लामो समय लाग्न सक्छ।

इंद्रधनुष तालिकाहरू प्रविष्ट गर्नुहोस्

इंद्रधनुष तालिकाहरू मुख्य रूपमा हिज्जे मानहरू भरिएको पूर्वनिर्धारित टेबलहरूको विशाल सेट हो जुन सम्भावित प्लान्ट्रेन्ट पासवर्डमा मिल्दो छन्। इंद्रधनुष तालिकाहरूले अनिवार्य रूपमा ह्याङङ फंक्शनलाई उल्टो गर्न अनुमति दिन्छ भनेर निश्चित गर्न कुन प्लान्ट पासवर्ड हुन सक्छ। यो संभव छ दुई फरक पासवर्ड एक हीश मा नतिजा को लागि, त्यसैले यो मूल पासवर्ड के थियो कि यो एक नै हैशसम्म पुग्न को लागी महत्वपूर्ण छैन। अव्यवस्थित पासवर्ड पनि प्रयोगकर्ता द्वारा बनाईएको एउटै पासवर्ड पनि नहुन सक्छ, तर जब भीश मिल्दो छ, त्यसमा फरक फरक पर्दैन कुन मूल पासवर्ड थियो।

इंद्रधनुष तालिकाहरूको प्रयोगले ब्रिट-बल विधिहरूसँग तुलना गर्दा धेरै छोटो समयमा फ्रेक गर्न पासवर्डहरूको लागि अनुमति दिन्छ, तथापि, ट्रेड-अफ यो हो कि इङ्गेन टेबुलहरू राख्नको लागि धेरै भण्डारण (कहिलेकाहीँ तेरबाइट्स) यी दिनहरू भण्डारण भन्दा राम्रो र सस्तो छ त्यसैले यो व्यापारिक कारोबार सम्झौताको रूपमा ठूलो हुँदैन किनकी यो एक दशक पहिले थियो जब टेराभी ड्राइवहरू केहि होइन कि तपाईले स्थानीय बिक्रेता किन्न सक्नुहुनेछ।

ह्याकर्सले रिभोजेसन अपरेटिङ सिस्टमहरू जस्तै Windows XP, Vista, Windows 7, र MD5 र SHA1 को प्रयोग गरेर अनुप्रयोगहरूको होशिंग मेकिनेजमेन्ट (धेरै वेब अनुप्रयोग विकासकर्ताहरूले अझै पनि यी हैशिंग एल्गोरिदमहरू प्रयोग गर्दछन्) को पासवर्ड तोक्नका लागि इङ्गल्याण्ड टेबलहरू खरीद गर्न सक्छन्।

इंद्रधनुष तालिकाहरूको आधारमा कसरी सुरक्षित राख्नुहोस्-आधारित पासवर्ड आक्रमणहरू

हामी त्यहाँ सबैको लागि यो एक राम्रो सल्लाह थियो। हामी भन्छौं कि एक मजबूत पासवर्ड मद्दत हुनेछ, तर यो वास्तवमा साँचो होईन किनभने यो समस्याको पासवर्डको कमजोरी होइन, यो हैशिंग प्रकार्यसँग सम्बन्धित कमजोरी हो जुन पासवर्ड एन्क्रिप्ट गर्न प्रयोग गरिन्छ।

हामीले प्रयोगकर्ताहरूलाई दिन सक्ने सबै भन्दा राम्रो सल्लाह हो कि तपाईको पासवर्ड लम्बाई क्यारेक्टरहरूको छोटो वर्णमा सीमित गर्न वेब अनुप्रयोगहरूबाट टाढा रहनु हो। यो असुरक्षित पुरानो विद्यालय पासवर्ड प्रमाणिकरण तालिकाहरू को एक स्पष्ट संकेत हो। विस्तारित पासवर्ड लम्बाइ र जटिलता बिट मद्दत गर्न सक्छ, तर सुरक्षाको ग्यारेन्टी रूप होइन। तपाईंको पासवर्ड लामो छ, इङ्गेरी टेबल भन्दा ठूलो यो दरार हुनु पर्छ, तर धेरै स्रोतहरू संग हैकर अझै पनि यो गर्न सक्दछ।

इंद्रधनुष टेबलहरू विरुद्ध कसरी रक्षा गर्ने बारे हाम्रो सल्लाह साँच्चै अनुप्रयोग विकासकर्ताहरू र प्रणाली व्यवस्थापकहरूको लागि हो। तिनीहरू अगाडि लाइनहरूमा छन् जब यो प्रकारको आक्रमणको विरुद्ध प्रयोगकर्ताहरूको सुरक्षा गर्न आउँछ।

इंद्रधनुष तालिकाका हमलाहरूको विरोधमा केही विकासकर्ता सुझावहरू यहाँ छन्:

1. तपाईंको पासवर्ड हैशिंग प्रकार्यमा MD5 वा SHA1 प्रयोग नगर्नुहोस्। MD5 र SHA1 पुरानो पासवर्ड होशिंग एल्गोरिदमहरू छन् र पासवर्डहरू तोक्न प्रयोग गरिने प्रायः इंद्रधनुष तालिकाहरूले यी हैशिंग विधिहरूको प्रयोग गरी अनुप्रयोगहरू र प्रणालीहरू लक्षित गर्न बनाइएका छन्। SHA2 जस्तै थप आधुनिक हाशिंग विधिहरु प्रयोग गरेर विचार गर्नुहोस्।
2. तपाईंको पासवर्ड hashing routine मा क्रिप्टोग्राफिक "नमक" प्रयोग गर्नुहोस्। तपाईंको पासवर्ड हैशिंग प्रकार्यमा क्रिप्टोग्राफिक साल्ट थप्दै तपाईंको अनुप्रयोगमा पासवर्ड तोक्न प्रयोग गरिने इंद्रधनुष तालिकाहरूको प्रयोगमा रक्षा गर्न मद्दत गर्नेछ। "रेनबो-प्रोफ" मा तपाईंको मद्दतको लागि क्रिप्टोग्राफिक नमक कसरी प्रयोग गर्ने केही कोडिङ उदाहरणहरू हेर्न कृपया वेबमास्टरहरू डिजाइन डिजाइन साइट जाँच गर्नुहोस् जुन विषयमा उत्कृष्ट लेख छ।

यदि तपाइँ हेर्नु हुन्छ कि ह्याकर्सले कसरी इङ्गेन टेबलहरू प्रयोग गरेर पासवर्ड आक्रमण गर्दछ भने, तपाइँ यी उत्कृष्ट प्रविधिहरू कसरी पत्ता लगाउन सक्नुहुन्छ कि यी पासवर्डहरू कसरी प्रयोग गर्नका लागि आफ्नै पासवर्डहरू पुनःप्राप्ति गर्न।