त्यांच्या सुंदर नावाने तुम्हाला मूर्ख बनवू नका, या गोष्टी धडकी भरवणारा आहेत.
आपण कदाचित इंद्रधनुषी सारण्या सारख्या निवडक रंगीत फर्निचरच्या रूपात विचार करता, परंतु आपण त्याबद्दल चर्चा करणार नाही. आम्ही बोलत असलेल्या इंद्रधनुषीची टेबल्स पासवर्डची फिकट करण्यासाठी वापरली जातात आणि हॅकरच्या वाढत्या अस्थिरतेत अजून एक साधन आहे.
या प्रोफाइलमध्ये काय आहे? इतके सुंदर आणि कुचकामाचे नाव इतके हानिकारक कसे असू शकते?
इंद्रधनुष सारण्या मागे मूलभूत संकल्पना
मी एक वाईट माणूस आहे जो एका सर्व्हर किंवा वर्कस्टेशनमध्ये फक्त एक थंब ड्राईव्ह प्लग केला आहे, तो रीबूट केला आणि एक प्रोग्रॅम चालू केला जो माझ्या थंब ड्राईव्हवर असलेल्या युजरनेम आणि पासवर्ड असलेली सुरक्षा डेटाबेस फाइल कॉपी करेल.
फाइलमधील संकेतशब्द एन्क्रिप्ट झाले आहेत म्हणून मी त्यांना वाचू शकत नाही. फाइलमध्ये (किंवा किमान प्रशासक संकेतशब्द) पासवर्डस तडजोड करावी लागेल जेणेकरून मी ती प्रणाली वापरण्यासाठी वापरू शकतो.
पासवर्ड क्रॅक करण्यासाठी पर्याय काय आहेत? मी ज्युअर रिपर सारखे क्रूर-बलकळ क्रॅकिंग प्रोग्रामचा वापर करण्याचा प्रयत्न करू शकतो, जो संकेतशब्द फाईलवर जो पाउंड टाकतो, ते पासवर्डच्या प्रत्येक संभाव्य संयोजनचा अंदाज लावण्यासाठी प्रयत्न करतो. दुसरा पर्याय असा पासवर्ड क्रॅकिंग लोड करणे आहे ज्यात हजारो सामान्यतः वापरल्या जाणा-या पासवर्ड असतात आणि त्यास कोणत्याही हिट सापडतात का ते पहा. जर संकेतशब्द पुरेसे मजबूत असतील तर ही पद्धत आठवडे, महिने किंवा वर्षे देखील घेऊ शकतात.
जेव्हा एखाद्या पासवर्डवर "प्रयत्न" करता तेव्हा एन्क्रिप्शनचा वापर करून "हॅश" असे असते जेणेकरून संप्रेषण लाईनवर प्रत्यक्ष संकेतशब्द कधीही स्पष्ट मजकूरमध्ये पाठविला जाणार नाही. यामुळे गुप्तशब्द टाळण्यापासून ते छिपी छळत नाही. पासवर्डचा हॅश सामान्यत: कचरा गुंडासारखा असतो आणि सामान्यत: मूळ संकेतशब्दापेक्षा वेगळा असतो. आपला संकेतशब्द "शित्झू" असू शकतो परंतु आपला संकेतशब्द हॅश "7378347eedbfdd761619451949225ec1" सारखा दिसेल.
वापरकर्त्याची पडताळणी करण्यासाठी, प्रणाली क्लाएंट संगणकावर पासवर्ड हॅशिंग फंक्शनद्वारे बनवलेले हॅश व्हॅल घेते आणि त्यास सर्व्हरवरील टेबलमधील हॅश व्हॅल्यूशी तुलना करते. हॅशची जुळणी झाल्यास, वापरकर्त्याला प्रमाणीकृत केले जाईल आणि प्रवेश मंजूर केला जाईल.
पासवर्ड हॅश करणे 1-वे फंक्शन आहे, म्हणजे आपण पासवर्डचा स्पष्ट मजकूर काय आहे हे पाहण्यासाठी हॅश डीक्रिप्ट करणे शक्य नाही. हॅशला डिक्रिप्ट करण्यासाठी एकदा ती तयार झाली नाही. आपण तर "डिकोडर रिंग" नाही.
पासवर्ड क्रॅकिंग प्रोग्राम लॉग इन प्रक्रिया प्रमाणेच कार्य करतात. क्रॅकिंग प्रोग्राम साध्या टेक्स्ट पासवर्डचा प्रारंभ करून, त्यांना हॅश अल्गोरिदम द्वारे चालवून, जसे की MD5, आणि नंतर चोरी झालेल्या पासवर्ड फाईलमध्ये हॅश आउटपुटची तुलना करतो. जर एखादे सामने सापडले तर कार्यक्रमाने पासवर्ड चिरडला. आम्ही आधी सांगितल्याप्रमाणे, ही प्रक्रिया खूप वेळ घेऊ शकते.
इंद्रधनुष टेबल प्रविष्ट करा
इंद्रधनुष सारण्या मुळात संभाव्य साधे पासवर्डसाठी पूर्व-जुळणारे हॅश व्हॅल्यूसह भरलेले प्रीकॉप्टेड सारणीचे प्रचंड संच असतात. इंद्रधनुष तक्ते मूलत: हॅंडिंग फंक्शनला हॅंडर फॉर रिवर्स करण्याची परवानगी देते कारण हा साधा मजकूर पासवर्ड काय असू शकतो. दोन भिन्न पासवर्डांकरिता समान हॅश होऊ शकणे शक्य आहे म्हणून मूळ संकेतशब्द कोणता होता हे शोधणे महत्त्वाचे नाही, तोपर्यंत तो त्याच हॅशमध्ये आहे. साध्या टेक्स्ट पासवर्ड वापरकर्ता द्वारे तयार केलेला समान संकेतशब्द असू शकत नाही, परंतु जोपर्यंत हॅश जुळला आहे तोपर्यंत मूळ पासवर्ड कोणता होता हे काही फरक पडत नाही.
इंद्रधनुष्याच्या टेबल्सचा उपयोग क्रूर शक्तींच्या तुलनेत फारच थोड्या वेळा पासवर्डला फेटाळण्याची परवानगी देतो, तथापि, ट्रेड-ऑफ म्हणजे रेनबो टेबल्स स्वतः ठेवण्यासाठी भरपूर स्टोरेज (काहीवेळा टेराबाइट्स) घेते, आजकाल स्टोरेज हे भरपूर आणि स्वस्त आहे त्यामुळे हे ट्रेड-ऑफ एक मोठा करार नाही कारण हा दशकभरापूर्वी जेव्हा टेराबाईट ड्राईव्ह काही नसल्यानं आपण स्थानिक सर्वोत्कृष्ट खरेदीला विकत घेऊ शकत नव्हतो.
विंडोज XP, व्हिस्टा, विंडोज 7, आणि एमडी 5 आणि एसएचए 1 चा वापर करणारे ऍप्लिकेशन्स त्यांच्या पासवर्ड हॅशिंग यंत्रणा (अनेक वेब ऍप्लिकेशन डेव्हलपर्स अद्याप या हॅशिंग अल्गोरिदम वापरतात) यासारख्या असुरक्षित ऑपरेटिंग सिस्टीमची पासवर्ड क्रॅक करण्यासाठी हॅकर्स प्रीकम्पूटेड रेनबो टेबल्स खरेदी करू शकतात.
इंद्रधनुष टेबल्स-आधारित पासवर्ड हल्ल्यांविरोधात आपले संरक्षण कसे करायचे?
आम्ही प्रत्येकासाठी या एक चांगला सल्ला होते इच्छा. आम्ही असे सांगू इच्छितो की अधिक मजबूत पासवर्ड मदत करेल, परंतु हे खरोखर सत्य नाही कारण पासवर्डची कमकुवतता ही समस्या नाही, पासवर्डची एनक्रिप्ट करण्यासाठी वापरलेल्या हॅशिंग फंक्शनशी निगडीत असलेली कमकुवतता आहे.
वापरकर्त्यांना आम्ही सर्वोत्तम सल्ला देऊ शकतो जे आपल्या पासवर्डची लांबी मर्यादित वर्णांपर्यंत मर्यादित करणार्या वेब अनुप्रयोगांपासून दूर राहणे. हे असुरक्षित जुने-शाळा संकेतशब्द प्रमाणीकरण नियमानुसार स्पष्ट लक्षण आहे. विस्तारित पासवर्डची लांबी आणि अवघडपणा थोडी मदत करू शकते, परंतु संरक्षणाची गॅरंटीड फॉर्म नाही. आपला संकेतशब्द जितका मोठा असेल तितका मोठा, इंद्रधनुष सारण्यांना ती तडजोड करावी लागेल, परंतु बर्याच साधनांसह हॅकर अद्यापही हे पूर्ण करू शकतात.
इंद्रधनुष सारण्याविरोधात कसे बचाव करायचे याबद्दल आमची सल्ला खरोखरच अनुप्रयोग विकासक आणि प्रणाली प्रशासकांसाठी आहे या प्रकाराच्या हल्ल्यांपासून वापरकर्त्यांचे संरक्षण करण्याच्या बाबतीत ते समोरच्या ओळीत आहेत.
येथे इंद्रधनुष्य टेबल हल्ला विरुद्ध चेंडू काही विकसक सूचना आहेत:
- आपल्या पासवर्ड हॅशिंग फंक्शनमध्ये MD5 किंवा SHA1 चा वापर करू नका. MD5 आणि SHA1 जुने पासवर्ड हॅशिंग एल्गोरिदम आहेत आणि संकेतशब्द हॅक करण्यासाठी वापरलेले सर्वात इंद्रधनुषीक टॅब्लेट या हॅशिंग पद्धती वापरून अनुप्रयोग आणि सिस्टीमवर लक्ष्य बनवण्यासाठी तयार केले आहेत. SHA2 सारख्या आधुनिक हॅशिंग पद्धती वापरण्याचा विचार करा
- आपल्या पासवर्ड हॅशिंग नियमानुसार क्रिप्टोग्राफिक "सॉल्ट" वापरा. आपला पासवर्ड हॅशिंग फंक्शनमध्ये क्रिप्टोग्राफिक सॉल्ट जोडणे आपल्या अनुप्रयोगात संकेतशब्द क्रॅक करण्यासाठी वापरले जाणाऱ्या रेनबो टेबल्सच्या वापराविरुद्ध बचाव करण्यास मदत करेल. "इंद्रधनुष-पुरावा" आपल्या अनुप्रयोगास मदत करण्यासाठी क्रिप्टोग्राफिक लिकचा वापर कसा करावा याची काही कोडींग उदाहरणे पाहण्यासाठी कृपया वेबमास्टर्स बाय डिझाइन साइट पहा ज्या विषयात उत्कृष्ट लेख आहे.
रेकर्णी टेबल्सचा वापर करून हॅकर्स पासवर्ड आक्रमण कसा दाखवतात हे आपण पाहू इच्छित असल्यास, आपण आपले स्वत: चे पासवर्ड पुनर्प्राप्त करण्यासाठी या तंत्रांचा वापर कसा करावा याबद्दल हा उत्कृष्ट लेख वाचू शकता.