Атака паролей Rainbow Table - что это такое и как вы защищаетесь от этого

Радужный стол - лишь один из многих мощных инструментов в арсенале современных киберпреступников. В то время как атака паролем на радужную таблицу имеет свои ограничения, она дает хакерам возможность эффективно похищать пароли из систем, которые недостаточно защищены.

Как работает атака паролем на радужный стол?

Чтобы понять, как работает радужная таблица, вам нужно понять, как работает хеширование паролей. Обычно пароли в компьютерных системах не хранятся непосредственно в виде текстовых строк. Это представляет угрозу безопасности, которую легко использовать, и это слишком большой риск для разработчиков, поэтому пароли хешируются с использованием шифрования. Это означает, что строка пароля, которую вы вводите для аутентификации пользователя, зашифрована на вашем хеше, но, поскольку хеш является односторонней функцией, ее нельзя расшифровать на другом конце, чтобы создать пароль на другом конце , Фактически, всякий раз, когда пользователь вводит пароль, он преобразуется в значение хеш-функции, и значение хеш-функции сравнивается со значением хеш-функции, уже сохраненным на другом конце. Совпадение этих значений - это то, что фактически аутентифицирует пользователя.

Радужная таблица - это обширное хранилище данных, которое используется для атаки не на сам пароль, а на метод, который обеспечивает безопасность шифрования, предоставляемая хешем. По сути, это огромная библиотека паролей в виде открытого текста и хеш-значений, которые соответствуют каждому паролю. По сути, хакеры сравнивают хэш пароля пользователя со всеми существующими хешами в базе данных. Это может быстро показать, какой открытый текстовый пароль связан с конкретным хешем. Более того, несколько текстов могут выдавать один и тот же хэш - и этого достаточно для киберпреступников, поскольку им фактически не нужно знать настоящий пароль, подойдет любая комбинация символов, которая аутентифицирует их доступ.

Особенности радуги

Радужные таблицы имеют некоторые явные преимущества перед другими методами взлома паролей, например, перебором. Выполнение хеш-функции не является проблемой для рассматриваемого киберпреступника, так как все предварительно вычислено, и базы данных, содержащие всю необходимую им информацию, доступны онлайн. По сути, то, что им нужно, - это простая операция поиска и сравнения в таблице.

Тем не менее, радужные атаки не являются основным и конечным инструментом для хакеров. У них есть свои ограничения, такие как огромный объем памяти, необходимый для хранения используемых ими таблиц, и эти таблицы действительно довольно большие. Обычный размер радужной таблицы, содержащей хэши всех возможных 8-символьных паролей, которые включают большинство символов, о которых можно подумать, может достигать 160 ГБ - и объем памяти, необходимый для включения более длинных паролей в таблицу, экспоненциально увеличивается с каждый бит добавленной энтропии.

Как можно предотвратить атаки радуги?

Пользователи могут сделать очень мало, чтобы не стать жертвой атаки паролем из «радужной таблицы», кроме того, что они следуют всем рекомендациям при создании пароля . С другой стороны, атаки радужных таблиц могут быть легко предотвращены с помощью солевых методов разработчиком рассматриваемой ИТ-системы. Соль - это случайный бит данных, который передается в хэш-функцию вместе с простым текстом. Это гарантирует, что каждый пароль имеет уникальный сгенерированный хеш, что делает невозможной атаку по радужной таблице.

March 24, 2020
Loading ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.