Ez utzi bere cute izena engaina, gauza horiek beldurgarriak dira.
Ustelkeriaren taulak koloreko altzari eklektiko gisa pentsatzen duten bitartean, eztabaidatzen ari gara. Hitz egiten ari garen Rainbow Taulak pasahitzak crackatzeko erabiltzen dira eta oraindik hackerren arsenalaren beste tresna bat dira.
Zertxobait dira Rainbow Taulak? Nola gertatu zitekeen hain kaltegarria den izar bat eta zimeldua?
Oinarrizko kontzeptua Rainbow Taulen atzean
Badakit norberaren disko gogorrean plugin bat sartu dutela zerbitzari edo estazio batean, berrabiarazi egin du eta nire disko thumb-ean erabiltzaile izen eta pasahitzekin segurtasun datu-basea duen fitxategia kopiatzen duen programa bat exekutatu du.
Fitxategian dauden pasahitzak enkriptatuta daude, beraz ezin dut irakurri. Pasahitzak artxiboan crack (edo, gutxienez, administratzailearen pasahitza) izan behar dut, sistemara sartzeko erabil ditzazun.
Zer dira pasahitzak crackatzeko aukerak? Saiatu eta erabili ahal izango dut brute-force pasahitza cracking programa, esate baterako, John Ripper, pasahitza fitxategian kentzen den bitartean, pasahitz konbinazio posible guztiak iteratasunez asmatzen saiatzen. Bigarren aukera pasahitza cracking hiztegi bat da, ehunka milaka erabiltzailek erabili ohi dituzten pasahitzak kargatzeko eta ikus dezaten. Metodo horiek aste, hilabete edota urteak iraun dezakete pasahitzak nahikoa indartzen badira.
Pasahitz bat "probatu" sistema baten aurka " enkriptatuta " enkriptatzea erabiliz, benetako pasahitza ez da inoiz testu argirik bidaltzen komunikazio-lerroan. Horrek eragozten die pasahitza atzematen duen ezkutariak. Pasahitzaren hashak normalean zabor sorta bat dirudi eta jatorrizko pasahitza baino luzera desberdina izaten da normalean. Zure pasahitza "shitzu" izan liteke baina pasahitzaren hashak "7378347eedbfdd761619451949225ec1" bezalako itxura du.
Erabiltzaile bat egiaztatzeko, sistemak bezeroaren ordenagailuko pasahitzaren hash funtzioak sortutako hash balioa hartzen du eta zerbitzarian taula batean gordetzen den hash balioa konparatzen du. Hashak bat datoz gero, erabiltzailea autentifikatuta dago eta sarbidea ematen du.
Pasahitz bat pasatzeko 1 modu funtzio bat da, ezin duzula hash desenkriptatu pasahitzaren testu argiaren zein den ikusteko. Ez da gakoa hash deszifratzea sortu zenean. Ez dago "decoder ring" ez baduzu.
Pasahitza cracking programek saio-hasierako prozesuan modu antzeko batean funtzionatzen dute. Cracking programa pasahitz argiak erabiliz hasten da, hash algoritmo baten bidez exekutatzen, adibidez, MD5, eta gero hash irteera konparatzen ditu pasahitz lapurtutako fitxategiekin. Partida aurkitzen bada, programa pasahitza pitzatu da. Lehen esan dugun bezala, prozesu hori oso denbora luzea izan daiteke.
Sartu Rainbow taulak
Rainbow Taulak funtsezkoak dira hash balioak dituzten aurrekonputazio taulen multzoak. Rainbow Taulak funtsean hackerrek hashatzeko funtzioa alderantzikatzeko aukera ematen dute, zeinaren bidez pasahitz nagusiaren pasahitza izan daitekeen zehazteko. Posible da bi pasahitz desberdinetan hash bera izatea, beraz, ez da garrantzitsua jatorrizko pasahitza zer den jakitea, hash bera duen heinean. Testu arruntaren pasahitza erabiltzaileak berak sortutako pasahitz bera izan daiteke, baina hashak bat datoz, ez du jatorrizko pasahitza zer den.
Rainbow taulak erabiltzeak pasahitzak laburtu egiten ditu oso denbora laburrean, indar gorriko metodoekin alderatuta, ordea, merkataritza-offea biltegiratze handia da (batzuetan Terabytes) Rainbow Taulak beraiek edukitzea, Biltegiratze egun hauetan ugaria eta merkeagoa da, beraz, merkataritza-off hau ez da akordio handi bat izan zen duela hamarkada bat denean terabyte unitateak ez ziren tokian tokiko Best Buy jaso ahal izango duzu zerbait.
Hackerrek prekordatutako Rainbow Taulak eros ditzakete, hala nola, Windows XP, Vista, Windows 7, eta sistema eragile ahulen pasahitzak cracking. Aplikazioak MD5 eta SHA1 erabiliz pasahitzen ditu mekanismo gisa (web aplikazioen garatzaileek algoritmo hauek oraindik ere erabiltzen dituzte).
Nola babestu zure burua Rainbow Taulen oinarritutako pasahitza erasoak aurka
Guztiontzat aholku hobea izan dugu guztiontzat. Pasahitz indartsuagoak lagungarri izango liratekeela esan nahi dugu, baina hori ez da egia, arazoaren pasahitza ahultasuna ez delako, pasahitza enkriptatzeko erabiltzen den hashing funtzioarekin lotutako ahultasuna.
Erabiltzaileei eman diezaien aholku onena da zure pasahitzaren luzera karaktere kopuru gutxira mugatzen duten web aplikazioetatik urruntzea. Hau zaharragoak diren eskola zaurgarrien autentifikazio-ohituren ohituren seinale argia da. Pasahitzaren luzera eta konplexutasun luzea pixka bat lagun dezake, baina ez da babes bermatua. Zenbat eta luzeagoa den pasahitza, orduan eta handiagoak Rainbow Taulak crackatu beharko lirateke, baina baliabide asko dituzten hackerrak oraindik hau betetzeko.
Gure Rainbow taulen aurka defendatzeko aholkuak benetan garatzaileei eta sistemako administratzaileei zuzenduta daude. Aurrealdeko lerroak dira erasoa mota honen aurka babesteko.
Hemen daude Rainbow Table erasoen aurka defendatzeko aholku batzuk:
- Ez erabili MD5 edo SHA1 zure pasahitza hashing funtzioan. MD5 eta SHA1 pasahitzak dira algoritmoen hashing algoritmoak eta pasahitzak crack erabiltzen dituzten ostadarraren taulak eraikitzen dira hashing metodoak erabiliz aplikazioak eta sistemak xede. Demagun SHA2 bezalako hashing metodo modernoak erabiltzea.
- Erabili "Salt" kriptografikoa zure pasahitza eguneratzeko errutina. Gatz kriptografikoa zure pasahitzera gehitzeko funtzionaltasuna zure aplikazioan pasahitzak crackatzeko erabilitako Rainbow Taulak erabiltzearen aurka defendatzen lagunduko dizu. Gatz kriptografikoa erabiltzeko kodetze adibide batzuk ikusteko "Rainbow-Proof" zure aplikazioa ikusteko, begiratu WebMasters By Design webgunean gaiari buruzko artikulu handia duen.
Hackerrak Rainbow Taulak erabiliz pasahitza erasotzeko nola egin nahi duen ikusi nahi baduzu, zure pasahitzak berreskuratzeko teknikak erabiltzeko modu bikaina irakurri dezakezu.