Çfarë është një sulm fjalori?

Për t'u vërtetuar në një faqe interneti, duhet të jepni një emër përdoruesi dhe fjalëkalim. Faqja më pas kontrollon detajet e vërtetimit që keni dhënë duke i krahasuar me detajet që ka ruajtur në bazën e të dhënave. Nëse detajet përputhen, qasja jepet. Nëse detajet nuk përputhen, qasja refuzohet.

Fatkeqësisht, shkeljet e të dhënave janë një dukuri relativisht e zakonshme. Shkeljet e të dhënave mund të jenë një problem i madh sepse një nga pjesët e të dhënave që synohen më shpesh janë të dhënat e përdoruesit, veçanërisht lista e emrave të përdoruesve dhe fjalëkalimeve. Nëse fjalëkalimet ruhen ashtu siç janë, në tekst të thjeshtë, atëherë kushdo që ka akses në bazën e të dhënave mund të hyjë në llogarinë e çdo përdoruesi tjetër. Është sikur t'u jepet një çelës çelësash me çelësin e çdo dere të një pallati.

Ndërsa bëhet shumë përpjekje në parandalimin e shkeljeve të të dhënave në radhë të parë, rekomandohet një strategji mbrojtjeje në thellësi. Në mënyrë të veçantë, këshillat e sigurisë thonë se fjalëkalimet duhet të hashohen, me vetëm hash-in e fjalëkalimit të ruajtur ndonjëherë. Një funksion hash është një funksion i njëanshëm që gjithmonë konverton të njëjtën hyrje në të njëjtin dalje. Edhe një ndryshim i vogël në input, megjithatë, prodhon një rezultat krejtësisht të ndryshëm. Në mënyrë kritike, nuk ka asnjë mënyrë për të ndryshuar funksionin dhe për ta kthyer hash-in e dalë përsëri në hyrjen origjinale. Ajo që mund të bëni, megjithatë, është të hash një hyrje të re dhe të shikoni nëse dalja përputhet me hash-in e ruajtur në bazën e të dhënave. Nëse e dini, ju e dini që fjalëkalimi përputhet, pa e ditur kurrë fjalëkalimin aktual.

Kjo do të thotë gjithashtu se nëse një sulmues shkel bazën e të dhënave, ata nuk marrin një listë me fjalëkalime të dobishme menjëherë, por në vend të kësaj ata marrin hash. Për të qenë në gjendje të përdorin këto hash, ato duhet të thyhen.

Thyerja e hasheve të fjalëkalimeve me smarts

Thyerja e një hash fjalëkalimi është procesi për të gjetur se çfarë është fjalëkalimi origjinal që përfaqëson hash-i. Sepse nuk ka asnjë mënyrë për të kthyer funksionin hash dhe për ta kthyer hash-in në fjalëkalim. Mënyra e vetme për të thyer një hash është të hamendësoni fjalëkalimin. Një metodë është përdorimi i një sulmi me forcë brutale. Kjo fjalë për fjalë përfshin të provoni çdo fjalëkalim të mundshëm. Kjo do të thotë të filloni nga "a", të provoni çdo shkronjë, në të dyja rastet, dhe çdo numër dhe simbol. Më pas, sulmuesi duhet të provojë të gjitha kombinimet me dy karaktere, kombinimet me tre karaktere, e kështu me radhë. Rritja e kombinimeve të mundshme të karaktereve është eksponenciale sa herë që shtoni një karakter. Kjo e bën të vështirë hamendjen me efikasitet të fjalëkalimeve të gjata edhe kur përdoren algoritme të shpejtë hashing me pajisje të fuqishme të thyerjes së GPU.

Disa përpjekje mund të kursehen duke parë kërkesat e fjalëkalimit të sajtit dhe duke mos provuar fjalëkalime që do të ishin shumë të shkurtra për t'u lejuar ose që nuk përmbajnë një numër, për shembull. Kjo do të kursente pak kohë dhe do të përshtatet ende në klasën e një sulmi me forcë brutale duke provuar të gjitha fjalëkalimet e lejuara. Sulmet me forcë brutale, megjithëse janë të ngadalta, – nëse lihen mjaftueshëm me shumë fuqi përpunuese – përfundimisht do të thyejnë çdo fjalëkalim pasi të gjitha kombinimet e mundshme do të provohen.

Problemi me sulmet me forcë brutale është se ato nuk janë shumë të zgjuara. Një sulm fjalori është një variant që është shumë më i synuar. Në vend që thjesht të provojë ndonjë fjalëkalim të mundshëm, ai provon një listë të fjalëkalimeve të specifikuara. Suksesi i këtij lloji të sulmit varet nga lista e fjalëkalimeve dhe fjalori në fjalë.

Bërja e supozimeve të arsimuara

Fjalorët e fjalëkalimeve zakonisht ndërtohen nga fjalëkalime të thyera më parë nga shkelje të tjera të të dhënave. Këta fjalorë mund të përmbajnë mijëra ose miliona hyrje. Kjo bazohet në konceptin se njerëzit janë të këqij në krijimin e fjalëkalimeve unike. Dëshmitë nga shkeljet e të dhënave tregojnë se kjo është gjithashtu rasti, për fat të keq. Njerëzit ende përdorin variacione në fjalën "fjalëkalim". Tema të tjera të zakonshme janë ekipet sportive, emrat e kafshëve shtëpiake, emrat e vendeve, emrat e kompanive, urrejtja e punës tuaj dhe fjalëkalimet bazuar në datën. Kjo e fundit ka tendencë të ndodhë veçanërisht kur njerëzit detyrohen të ndryshojnë rregullisht fjalëkalimet e tyre.

Përdorimi i një fjalori fjalëkalimi redukton masivisht numrin e supozimeve që duhen bërë në krahasim me një sulm me forcë brutale. Fjalorët e fjalëkalimeve gjithashtu priren të përmbajnë fjalëkalime të shkurtra dhe më të gjata që do të thotë se mund të provohen disa fjalëkalime që nuk do të arriheshin as me vite ose me hamendje të forcës brutale. Qasja rezulton e suksesshme gjithashtu. Statistikat ndryshojnë në bazë të shkeljes së të dhënave dhe madhësisë dhe cilësisë së fjalorit të përdorur, por normat e suksesit mund të kalojnë 70%.

Normat e suksesit mund të rriten edhe më tej me algoritmet e manipulimit të fjalëve. Këto algoritme marrin çdo fjalë në fjalorin e fjalëkalimit dhe më pas e modifikojnë pak. Këto modifikime priren të jenë zëvendësime standarde të karaktereve dhe shtimi i numrave ose simboleve pasuese. Për shembull, është e zakonshme që njerëzit të zëvendësojnë shkronjën "e" me një "3" dhe "s" me një "$" ose të shtojnë një pikëçuditëse në fund. Algoritmet e manipulimit të fjalëve krijojnë dublikatë të çdo hyrjeje në fjalorin e fjalëkalimit. Çdo dublikatë ka një variacion të ndryshëm të këtyre zëvendësimeve të karaktereve. Kjo rrit ndjeshëm numrin e fjalëkalimeve për të hamendësuar dhe gjithashtu rrit shkallën e suksesit, në disa raste mbi 90%.

konkluzioni

Një sulm fjalori është një variacion i synuar i një sulmi me forcë brutale. Në vend që të provohen të gjitha kombinimet e mundshme të karaktereve, testohet një nëngrup kombinimesh karakteresh. Ky nëngrup është një listë e fjalëkalimeve që janë gjetur më parë dhe nëse është e nevojshme janë thyer në shkeljet e të dhënave të kaluara. Kjo redukton masivisht numrin e supozimeve që duhen bërë gjatë mbulimit të fjalëkalimeve që janë përdorur më parë, dhe në disa raste, të parë shpesh. Një sulm fjalori nuk ka një shkallë suksesi aq të lartë sa një sulm me forcë brutale. Kjo, megjithatë, supozon se ju keni kohë dhe fuqi të pakufizuar përpunuese. Një sulm fjalori tenton të marrë një shkallë suksesi mjaft të lartë shumë më shpejt se sa një sulm me forcë brutale. Kjo për shkak se nuk humbet kohë në kombinime jashtëzakonisht të pamundura të personazheve.

Një nga gjërat kryesore që duhet të bëni kur krijoni një fjalëkalim është të siguroheni që ai të mos shfaqet në një listë fjalësh. Një mënyrë për ta bërë këtë është të krijoni një fjalëkalim kompleks, një tjetër është të krijoni një fjalëkalim të gjatë. Në përgjithësi, alternativa më e mirë është të krijoni një fjalëkalim të gjatë të përbërë nga disa fjalë. Është thjesht e rëndësishme që ato fjalë të mos përbëjnë një frazë të vërtetë siç mund të merret me mend. Ato duhet të jenë krejtësisht të palidhura. Rekomandohet që të zgjidhni një fjalëkalim mbi 10 karaktere me 8 si minimumin absolut.