Kas yra žodyno ataka?

Norėdami autentifikuoti svetainę, turite pateikti vartotojo vardą ir slaptažodį. Tada svetainė patikrina jūsų pateiktą autentifikavimo informaciją, palygindama ją su informacija, kurią ji saugojo savo duomenų bazėje. Jei duomenys sutampa, prieiga suteikiama. Jei duomenys nesutampa, prieiga uždrausta.

Deja, duomenų pažeidimai yra gana dažnas reiškinys. Duomenų pažeidimai gali būti didelė problema, nes vienas iš dažniausiai naudojamų duomenų yra vartotojo duomenys, ypač naudotojo vardų ir slaptažodžių sąrašas. Jei slaptažodžiai saugomi tokie, kokie yra, grynuoju tekstu, tada kiekvienas, turintis prieigą prie duomenų bazės, gali pasiekti bet kurio kito vartotojo paskyrą. Tarsi jiems būtų įteiktas raktų pakabukas su raktu nuo kiekvienų daugiabučio namo durų.

Nors pirmiausia dedama daug pastangų siekiant užkirsti kelią duomenų pažeidimams, rekomenduojama taikyti nuodugnios gynybos strategiją. Konkrečiai, saugumo patarimai teigia, kad slaptažodžiams turėtų būti taikoma maiša, išsaugoma tik slaptažodžio maiša. Maišos funkcija yra vienpusė funkcija, kuri visada konvertuoja tą pačią įvestį į tą pačią išvestį. Tačiau net ir nedidelis įvesties pakeitimas sukuria visiškai skirtingą rezultatą. Labai svarbu, kad nėra galimybės pakeisti funkcijos ir paversti išvestą maišą atgal į pradinę įvestį. Tačiau tai, ką galite padaryti, yra maišyti naują įvestį ir pamatyti, ar išvestis atitinka duomenų bazėje saugomą maišą. Jei žinote, kad slaptažodis atitiko, niekada nežinote tikrojo slaptažodžio.

Tai taip pat reiškia, kad jei užpuolikas pažeidžia duomenų bazę, jis negauna iš karto naudingų slaptažodžių sąrašo, o gauna maišą. Kad būtų galima naudoti šias maišas, jos turi būti nulaužtos.

Slaptažodžių maišos nulaužimas naudojant išmaniąsias priemones

Slaptažodžio maišos nulaužimas yra procesas, kurio metu nustatoma, koks yra pradinis slaptažodis, kurį ši maiša reiškia. Nes nėra galimybės pakeisti maišos funkcijos ir paversti maišą slaptažodžiu. Vienintelis būdas nulaužti maišą yra atspėti slaptažodį. Vienas iš būdų yra panaudoti brutalios jėgos ataką. Tai tiesiogine prasme apima visų įmanomų slaptažodžių išbandymą. Tai reiškia, kad reikia pradėti nuo „a“, bandant abiem atvejais kiekvieną raidę ir kiekvieną skaičių bei simbolį. Tada užpuolikas turi išbandyti visus dviejų simbolių derinius, trijų simbolių derinius ir pan. Kiekvieną kartą pridedant simbolį galimų simbolių kombinacijų skaičius didėja. Dėl to sunku efektyviai atspėti ilgus slaptažodžius, net kai su galingais GPU nulaužimo įrenginiais naudojami greiti maišos algoritmai.

Kai kurias pastangas galima sutaupyti žiūrint į svetainės slaptažodžio reikalavimus ir nebandant slaptažodžių, kurie būtų per trumpi, kad juos būtų galima leisti arba kuriuose, pavyzdžiui, nebūtų numerio. Tai sutaupytų šiek tiek laiko ir vis tiek tinka žiaurios jėgos atakos klasei, bandant visus leidžiamus slaptažodžius. Brutalios jėgos atakos, būdamos lėtos, galiausiai sulaužys bet kurį slaptažodį, jei bus paliktas pakankamai ilgai, nes bus išbandytos visos galimos kombinacijos.

Brutalia jėgos atakų problema yra ta, kad jie nėra labai protingi. Žodyno ataka yra daug tikslesnis variantas. Užuot tiesiog bandęs bet kokį galimą slaptažodį, jis išbando nurodytų slaptažodžių sąrašą. Šio tipo atakų sėkmė priklauso nuo slaptažodžių sąrašo ir atitinkamo žodyno.

Pagrįstų spėjimų darymas

Slaptažodžių žodynai paprastai kuriami iš anksčiau nulaužtų slaptažodžių, susijusių su kitais duomenų pažeidimais. Šiuose žodynuose gali būti tūkstančiai ar milijonai įrašų. Tai grindžiama koncepcija, kad žmonės blogai kuria unikalius slaptažodžius. Deja, duomenų pažeidimo įrodymai taip pat rodo, kad taip yra. Žmonės vis dar naudoja žodžio „slaptažodis“ variantus. Kitos dažnos temos yra sporto komandos, naminių gyvūnėlių vardai, vietovardžiai, įmonių pavadinimai, neapykanta jūsų darbui ir slaptažodžiai pagal datą. Pastarasis ypač dažnai pasitaiko, kai žmonės yra priversti reguliariai keisti slaptažodžius.

Naudojant slaptažodžių žodyną labai sumažėja spėjimų, kuriuos reikia atlikti, skaičius, palyginti su žiaurios jėgos ataka. Slaptažodžių žodynuose taip pat paprastai yra trumpų ir ilgesnių slaptažodžių, o tai reiškia, kad gali būti bandomi kai kurie slaptažodžiai, kurių nepavyktų pasiekti net metus ar spėliojant žiauria jėga. Šis metodas taip pat pasiteisina. Statistika skiriasi priklausomai nuo duomenų pažeidimo ir naudojamo žodyno dydžio bei kokybės, tačiau sėkmės rodikliai gali viršyti 70%.

Sėkmės rodiklius galima dar labiau padidinti naudojant žodžių maišymo algoritmus. Šie algoritmai paima kiekvieną slaptažodžių žodyne esantį žodį ir šiek tiek jį modifikuoja. Šios modifikacijos paprastai yra standartiniai simbolių keitimai ir galinių skaičių ar simbolių pridėjimas. Pavyzdžiui, žmonės dažnai pakeičia raidę „e“ raide „3“, o „s“ – „$“ arba prideda šauktuką pabaigoje. Žodžių tvarkymo algoritmai sukuria kiekvieno slaptažodžio žodyno įrašo dublikatus. Kiekvienas dublikatas turi skirtingą šių simbolių pakeitimų variantą. Tai žymiai padidina atspėjamų slaptažodžių skaičių ir padidina sėkmės rodiklį, kai kuriais atvejais net daugiau nei 90%.

Išvada

Žodyno ataka yra tikslinis brutalios jėgos atakos variantas. Užuot bandę naudoti visus galimus simbolių derinius, išbandomas simbolių derinių poaibis. Šis poaibis yra slaptažodžių, kurie anksčiau buvo rasti ir, jei reikia, nulaužti per ankstesnius duomenų pažeidimus, sąrašas. Tai labai sumažina spėjimų skaičių, kai dengiami anksčiau naudojami ir kai kuriais atvejais dažnai matomi slaptažodžiai. Žodyno ataka nėra tokia sėkminga kaip žiaurios jėgos ataka. Tačiau tai reiškia, kad turite neribotą laiką ir apdorojimo galią. Žodyno ataka paprastai sulaukia pakankamai aukšto sėkmės rodiklio daug greičiau nei tai gali padaryti brutalios jėgos ataka. Taip yra todėl, kad nešvaistoma laiko itin mažai tikėtiniems simbolių deriniams.

Vienas iš pagrindinių dalykų, kuriuos turėtumėte padaryti sugalvodami slaptažodį, yra užtikrinti, kad jis nebūtų rodomas žodžių sąraše. Vienas iš būdų tai padaryti – sukurti sudėtingą slaptažodį, kitas – sukurti ilgą slaptažodį. Paprastai geriausias pasirinkimas yra sukurti ilgą slaptažodį, sudarytą iš kelių žodžių. Tik svarbu, kad šie žodžiai nesudarytų tikros frazės, kaip galima spėti. Jie turėtų būti visiškai nesusiję. Rekomenduojame pasirinkti slaptažodį, ilgesnį nei 10 simbolių ir 8 kaip absoliutų minimumą.