Rainbow Table Password Attack - Che cos'è e come proteggersi da esso
Una tavola arcobaleno è solo uno dei tanti potenti strumenti nell'arsenale dei criminali informatici di oggi. Mentre un attacco con la password della tabella arcobaleno ha i suoi limiti, offre agli hacker l'opportunità di rubare in modo efficace password da sistemi che non sono sufficientemente protetti.
Table of Contents
Come funziona un attacco con password Rainbow Table?
Per capire come funziona una tabella arcobaleno, devi capire come funzionano le password di hashing. Di solito, le password nei sistemi informatici non vengono archiviate direttamente come stringhe di testo semplice. Ciò rappresenta un rischio per la sicurezza che può essere facilmente sfruttato e rappresenta un rischio eccessivo per gli sviluppatori, motivo per cui le password vengono crittografate mediante crittografia. Ciò significa che la stringa di password immessa per autenticare l'utente viene crittografata in un hash da parte dell'utente, ma poiché un hash è una funzione unidirezionale, non può essere decrittografato dall'altra parte per produrre la password dall'altra parte . In effetti, ogni volta che un utente inserisce una password, questa viene convertita in un valore di hash e il valore di hash viene confrontato con il valore di hash già memorizzato sull'altra estremità. Una corrispondenza di questi valori è ciò che autentica l'utente.
Una tabella arcobaleno è un vasto repository di dati che viene utilizzato per attaccare non la password stessa, ma il metodo fornito dalla sicurezza della crittografia fornita dall'hash. In effetti, è una vasta libreria di password in chiaro e i valori di hash che corrispondono a ogni password. In effetti, gli hacker confrontano l'hash della password di un utente con tutti gli hash esistenti nel database. Questo può rivelare rapidamente quale password in chiaro è legata a un determinato hash. Inoltre, più di un testo può produrre lo stesso hash - e questo è abbastanza buono per i criminali informatici poiché in realtà non hanno bisogno di conoscere la vera password, qualsiasi combinazione di simboli che autentica il loro accesso lo farà.
I dettagli di un attacco arcobaleno
I tavoli arcobaleno presentano alcuni distinti vantaggi rispetto ad altri metodi per decifrare le password, come dire la forza bruta. L'esecuzione della funzione hash non è il problema per i criminali informatici in questione, poiché tutto è precompilato e i database contenenti tutte le informazioni di cui hanno bisogno sono disponibili online. In effetti, ciò che devono eseguire è solo una semplice operazione di ricerca e confronto su una tabella.
Tuttavia, gli attacchi arcobaleno non sono lo strumento universale per gli hacker. Hanno i loro limiti, come l'enorme quantità di spazio di archiviazione necessaria per archiviare le tabelle che utilizzano - e le tabelle in questione sono davvero piuttosto grandi. Le dimensioni regolari di una tabella arcobaleno contenente gli hash di tutte le possibili 8 password dei simboli che includono la maggior parte dei simboli che si possono pensare possono essere grandi quanto 160 GB - e lo spazio di archiviazione necessario per l'inclusione di password più lunghe nella tabella aumenta esponenzialmente con ogni bit di entropia aggiunta.
Come si possono prevenire gli attacchi arcobaleno?
Ci sono pochissimi utenti che possono fare per evitare di cadere vittime di un attacco con la password della tabella arcobaleno, oltre a seguire tutte le buone pratiche durante la creazione di una password . D'altra parte, gli attacchi alle tabelle arcobaleno possono essere facilmente prevenuti utilizzando le tecniche del sale da parte dello sviluppatore del sistema IT in questione. Salt è un bit casuale di dati che viene passato nella funzione hash insieme al testo semplice. Ciò garantisce che ogni password abbia un hash generato univoco, rendendo impossibile eseguire l'attacco della tabella arcobaleno.
