Passord cracking bruke rainbow tabeller

Vi har nettopp installert en ny kopi av vår Windows, bruke timevis å oppdatere den med at haug av patcher kjent som Windows Update, velger et sterkt alfanumerisk passord for å gi Morpheus, trygge på at vårt system er ukrenkelig.

Sikkert mange vil kjenne igjen i dette eksempelet, følger vi tilbringer timer og timer å installere, konfigurere og oppgradere et system. I vårt arbeid flittig vi beskytte passordet av ti eller flere tegn som vi husker med vanskeligheter fordi klar over hvor raskt knekke et passord policy, som vi har valgt en vanskelig streng

 



 3N1rvAn%% @! -

 

Godt arbeid, fortjener en skikkelig hvile, og likevel dette systemet lider av en svakhet som gjør dem utsatt for en rask passord cracker.

I denne artikkelen vil vi diskutere passordknekking bruke regnbuen registre, en teknikk som gir raskere cracking av legitimasjon av visse systemer av forskjellige størrelsesordener, og gir sine særegenheter og begrensninger.

Passord og Hash

Først av alt, la oss reflektere et øyeblikk på hvordan du lagrer passordene er generelt: selvfølgelig er det ønskelig at denne sensitive informasjonen er holdt i en klar, derfor vanligvis foretrekker å bruke hashing algoritmer som koder passordet ved hjelp av våre ikke-reversibel matematiske funksjoner. For de uvitende av matematisk analyse, er det påpekes at en funksjon er ikke invertibel er en sammenheng mellom to objekter som du ikke kan komme gjennom utgangspunktet, det eneste resultatet, rapportert i vårt tilfelle betyr at du ikke kan få passordet bare eie hash verdi generert av algoritmen (som kalles en hash).

Selv om mange tror det motsatte, er en hash langt fra unik, og på det motsatte, er det uendelig mange verdier som produserer den samme hash, men på en god hashing algoritmen sannsynligheten for at de er to strenger som produserer den samme hash er minimal, infinitesimal verdi korrekt (i statistisk forstand) rundet av til null. Dette betyr at å finne en streng som er kodet i samme hash er kodet i passord vår er helt usannsynlig.

Når vi skriver vår passord hash beregnes på nytt, med samme algoritme, og dette er ikke passordet verdi å bli sammenlignet. Dermed kan vi trygt beholde vår hash-fil, sørg for at de hundrevis av trillioner av mulige kombinasjoner våre passord er ukrenkelig. Selvsagt vil et angrep som søker å eksos alle muligheter (kalt "nøkkel space") utvilsomt finne en streng som kan produsere den samme hash, men vi fra ovenstående, er vår sikkerhet for at kombinasjonene er i tilstrekkelig antall for å Ikke la dette på en rimelig tid.

Rainbow Tables

Vi introduserer regnbuen registre, ble ideen unnfanget i åttiårene av den amerikanske matematikeren Martin Hellman, men hadde sin fulle omfang gjennom de påfølgende studier av Philippe Oechslin.

I bunnen er det en ganske enkel og intuitiv vurdering, "fordi hver gang alle mulige calcorare opp å få en hash som samsvarer med passordet du leter etter?" Hvis jeg hadde tidlig beregnes og lagres alle mulige kombinasjoner i en slags telefon bok av algoritmen, kunne vi i en mer fleksibel søke i arkivet og finne riktig hash. Faktisk er kostnaden for et passord cracking hovedsakelig en funksjon for å beregne hash, som inkluderer komplekse matematiske algoritmer til å bli produsert, i forhold til sistnevnte, er strengen sammenligning for å avgjøre om hash (forskningen fasen) er riktig en ubetydelig kostnad av tid.

• <<
• 1
• 2
• 3
• >>