Hvað er orðabókarárás?

Til að auðkenna vefsíðu þarftu að gefa upp notandanafn og lykilorð. Síðan athugar síðan auðkenningarupplýsingarnar sem þú hefur gefið upp með því að bera þær saman við upplýsingarnar sem hún hefur geymt í gagnagrunni sínum. Ef upplýsingarnar passa saman er aðgangur veittur. Ef upplýsingarnar passa ekki er aðgangi hafnað.

Því miður eru gagnabrot tiltölulega algengt. Gagnabrot geta verið stórt vandamál vegna þess að einn af þeim gagnabitum sem oftast er miðað við er notendagögnin, sérstaklega listinn yfir notendanöfn og lykilorð. Ef lykilorðin eru bara geymd eins og þau eru, í einföldum texta, þá getur hver sem er með aðgang að gagnagrunninum fengið aðgang að reikningi hvers annars notanda. Það er eins og þeim hafi verið afhentur lyklakippa með lyklinum að hverri hurð í fjölbýlishúsi.

Þó mikið átak fari í að koma í veg fyrir gagnabrot í fyrsta lagi, er mælt með áætlun um varnir í dýpt. Sérstaklega, öryggisráðgjöf heldur því fram að lykilorð ættu að vera hash, með aðeins kjötkássa lykilorðsins sem alltaf er geymt. Hash fall er einhliða fall sem breytir alltaf sama inntakinu í sama úttakið. Jafnvel minniháttar breyting á inntakinu framleiðir hins vegar allt aðra framleiðslu. Mikilvægt er að það er engin leið að snúa aðgerðinni við og breyta útgefnum kjötkássa aftur í upprunalega inntakið. Það sem þú getur hins vegar gert er að hassa nýtt inntak og sjá hvort úttakið passi við geymt kjötkássa í gagnagrunninum. Ef það gerir það veistu að lykilorðið passaði, án þess að vita nokkurn tíma raunverulegt lykilorð.

Hjálplega þýðir þetta líka að ef árásarmaður brýtur í gagnagrunninum, þá fá þeir ekki lista yfir strax gagnleg lykilorð, þeir fá kjötkássa í staðinn. Til að geta notað þessi kjötkássa þarf að klikka þau.

Sprunga lykilorð kjötkássa með smarts

Að sprunga lykilorðahash er ferlið við að finna út hvað upprunalega lykilorðið er sem hassið táknar. Vegna þess að það er engin leið að snúa við kjötkássaaðgerðinni og breyta kjötkássa í lykilorðið. Eina leiðin til að brjóta kjötkássa er að giska á lykilorðið. Ein aðferð er að nota brute force árás. Þetta felur bókstaflega í sér að prófa öll möguleg lykilorð. Það þýðir að byrja á „a“, reyna hvern staf, í báðum tilfellum, og hverja tölu og tákn. Þá þarf árásarmaðurinn að prófa allar tveggja stafa samsetningar, þriggja stafa samsetningar og svo framvegis. Aukningin á mögulegum samsetningum stafa er veldisvísis í hvert skipti sem þú bætir við staf. Þetta gerir það að verkum að erfitt er að giska á löng lykilorð á skilvirkan hátt, jafnvel þegar hröð hass-algrím eru notuð með öflugum GPU sprungubúnaði.

Hægt er að spara áreynslu með því að skoða lykilorðakröfur síðunnar og ekki prófa lykilorð sem væru of stutt til að vera leyfð eða sem innihalda ekki númer, til dæmis. Þetta myndi spara nokkurn tíma og passar samt í flokk brute force árásar sem reynir öll leyfileg lykilorð. Hrottalegar árásir, þótt þær séu hægar, munu - ef þær eru látnar liggja nógu lengi með mikinn vinnslukraft - að lokum brjóta hvaða lykilorð sem er þar sem allar mögulegar samsetningar verða prófaðar.

Vandamálið við árásir með brute force er að þær eru ekki mjög snjallar. Orðabókarárás er afbrigði sem er miklu markvissara. Í stað þess að reyna bara hvaða lykilorð sem er, reynir það lista yfir tilgreind lykilorð. Árangur þessarar tegundar árása fer eftir lykilorðalistanum og orðabókinni sem um ræðir.

Að gera upplýstar getgátur

Lykilorðsorðabækur eru venjulega byggðar úr áður klikkuðum lykilorðum frá öðrum gagnabrotum. Þessar orðabækur geta innihaldið þúsundir eða milljónir færslur. Þetta byggir á þeirri hugmynd að fólk sé slæmt í að búa til einstök lykilorð. Vísbendingar frá gagnabrotum sýna að þetta er líka raunin, því miður. Fólk notar enn afbrigði af orðinu „lykilorð“. Önnur algeng efni eru íþróttalið, nöfn gæludýra, örnefni, fyrirtækjanöfn, hatur á starfinu þínu og lykilorð miðað við dagsetningu. Þetta síðasta hefur sérstaklega tilhneigingu til að gerast þegar fólk neyðist til að skipta reglulega um lykilorð.

Notkun lykilorðabókar dregur verulega úr fjölda getgáta sem þarf að gera í samanburði við árás með grimmdarkrafti. Lykilorðsorðabækur hafa einnig tilhneigingu til að innihalda bæði stutt og lengri lykilorð sem þýðir að sum lykilorð gætu verið reynd sem myndu ekki nást jafnvel með árum eða ágiskun. Aðferðin reynist líka vel. Tölfræði er mismunandi eftir gagnabroti og stærð og gæðum orðabókarinnar sem notuð er en árangur getur farið yfir 70%.

Hægt er að hækka árangurinn enn frekar með reikniritum til að misnota orð. Þessi reiknirit taka hvert orð í lykilorðabókinni og breyta því síðan aðeins. Þessar breytingar hafa tilhneigingu til að skipta um staðlaðar persónur og bæta við tölum eða táknum í kjölfarið. Til dæmis er algengt að fólk skipti út bókstafnum „e“ fyrir „3“ og „s“ fyrir „$“ eða bæti upphrópunarmerki í lokin. Orðamanglingsalgrím búa til afrit af hverri færslu í lykilorðaorðabókinni. Hver afrit hefur mismunandi afbrigði af þessum persónuuppfærslum. Þetta eykur verulega fjölda lykilorða til að giska á og eykur einnig árangurinn, í sumum tilfellum yfir 90%.

Niðurstaða

Orðabókarárás er markviss afbrigði af brute force árás. Í stað þess að reyna allar mögulegar stafasamsetningar er undirmengi stafasamsetninga prófað. Þetta undirmengi er listi yfir lykilorð sem áður hafa fundist og ef þörf krefur brotin í fyrri gagnabrotum. Þetta dregur verulega úr fjölda getgátna sem á að gera á meðan það nær yfir lykilorð sem hafa verið notuð áður og í sumum tilfellum oft séð. Orðabókarárás hefur ekki eins hátt árangurshlutfall og grimmdarárás. Það gerir hins vegar ráð fyrir að þú hafir ótakmarkaðan tíma og vinnslugetu. Orðabókarárás hefur tilhneigingu til að ná þokkalega háum árangri mun hraðar en árás með skepnastyrk. Þetta er vegna þess að það eyðir ekki tíma í afar ólíklegar persónusamsetningar.

Eitt af því helsta sem þú ættir að gera þegar þú kemur með lykilorð er að ganga úr skugga um að það birtist ekki á orðalista. Ein leið til að gera það er að búa til flókið lykilorð, önnur er að búa til langt lykilorð. Yfirleitt er besti kosturinn að búa til langt lykilorð sem samanstendur af nokkrum orðum. Það er bara mikilvægt að þessi orð verði ekki raunveruleg setning þar sem hægt er að giska á það. Þeir ættu að vera algjörlega óskyldir. Mælt er með því að þú veljir lykilorð sem er meira en 10 stafir með 8 sem algjört lágmark.