Veebisaidi autentimiseks peate sisestama kasutajanime ja parooli. Seejärel kontrollib sait teie esitatud autentimisandmeid, võrreldes neid oma andmebaasi salvestatud üksikasjadega. Kui andmed ühtivad, antakse juurdepääs. Kui andmed ei ühti, keelatakse juurdepääs.
Kahjuks on andmetega seotud rikkumised suhteliselt sagedane juhtum. Andmete rikkumised võivad olla suureks probleemiks, sest üks kõige sagedamini sihitud andmeosadest on kasutajaandmed, täpsemalt kasutajanimede ja paroolide loend. Kui paroolid salvestatakse niisama, lihttekstina, pääseb igaüks, kellel on juurdepääs andmebaasile, juurde pääseda mis tahes teise kasutaja kontole. Tundub, nagu oleks neile antud võtmehoidja kortermaja iga ukse võtmega.
Kuigi andmerikkumiste ärahoidmiseks tehakse palju pingutusi, on soovitatav kasutada põhjalikku kaitsestrateegiat. Täpsemalt öeldakse turvanõuannetes, et paroole tuleks räsida, salvestades ainult parooli räsi. Räsifunktsioon on ühesuunaline funktsioon, mis teisendab alati sama sisendi samaks väljundiks. Isegi väike muutus sisendis annab aga täiesti erineva väljundi. Kriitiline on see, et funktsiooni ei saa tagasi pöörata ja väljastatud räsi tagasi algsesse sisendisse muuta. Mida saate aga teha, on uue sisendi räsimine ja vaadata, kas väljund vastab andmebaasi salvestatud räsile. Kui see teab, mis parool on sobitatud, ilma tegelikku parooli teadmata.
See tähendab ka seda, et kui ründaja rikub andmebaasi, ei saa ta kohe kasulike paroolide loendit, vaid räsi. Nende räside kasutamiseks tuleb need lahti murda.
Parooliräside purustamine nutikate vahenditega
Parooliräsi lahtimurdmine on protsess, mille käigus tehakse kindlaks, milline on algne parool, mida räsi esindab. Sest räsifunktsiooni ei saa kuidagi ümber pöörata ja räsi parooliks muuta. Ainus viis räsi murdmiseks on parool ära arvata. Üks meetod on kasutada toore jõu rünnakut. See tähendab sõna otseses mõttes kõigi võimalike paroolide proovimist. See tähendab, et alustage tähest a, proovige mõlemal juhul iga tähte ning iga numbrit ja sümbolit. Seejärel peab ründaja proovima kõiki kahe tähemärgi kombinatsioone, kolme tähemärgi kombinatsioone jne. Võimalike tähemärkide kombinatsioonide suurenemine on iga kord, kui märgi lisate, eksponentsiaalne. See muudab pikkade paroolide tõhusa ära arvamise keeruliseks isegi siis, kui võimsate GPU-murdmisseadmetega kasutatakse kiireid räsimisalgoritme.
Jõupingutusi saab säästa, kui vaadata saidi paroolinõudeid ja mitte proovida paroole, mis oleksid lubamiseks liiga lühikesed või millel pole näiteks numbrit. See säästaks veidi aega ja sobib ikkagi jõhkra jõu rünnaku klassi, mis proovib kõiki lubatud paroole. Aeglased jõhkra jõuga rünnakud murravad lõpuks kõik paroolid lahti, kui neid piisavalt kauaks jätta, kuna proovitakse kõiki võimalikke kombinatsioone.
Toore jõu rünnakute probleem seisneb selles, et nad pole eriti targad. Sõnaraamaturünnak on variant, mis on palju sihipärasem. Selle asemel, et lihtsalt proovida mis tahes võimalikku parooli, proovib see määratud paroolide loendit. Seda tüüpi rünnakute edu sõltub paroolide loendist ja kõnealusest sõnastikust.
Haritud oletuste tegemine
Paroolisõnastikud koostatakse tavaliselt muude andmetega seotud rikkumiste käigus varem murtud paroolidest. Need sõnastikud võivad sisaldada tuhandeid või miljoneid kirjeid. See põhineb kontseptsioonil, et inimesed ei oska ainulaadseid paroole luua. Andmerikkumistest saadud tõendid näitavad, et kahjuks on see ka nii. Inimesed kasutavad endiselt sõna "parool" variatsioone. Teised levinud teemad on spordimeeskonnad, lemmikloomade nimed, kohanimed, ettevõtete nimed, oma töö vihkamine ja kuupäevapõhised paroolid. See viimane kipub konkreetselt juhtuma siis, kui inimesed on sunnitud oma paroole regulaarselt muutma.
Paroolisõnastiku kasutamine vähendab oluliselt arvamiste arvu, võrreldes jõhkra jõuga rünnakuga. Paroolisõnastikud sisaldavad tavaliselt nii lühikesi kui ka pikemaid paroole, mis tähendab, et proovida võidakse mõnda parooli, milleni ei jõuta isegi aastate või toore jõuga äraarvamisega. See lähenemine osutub samuti edukaks. Statistika varieerub olenevalt andmete rikkumisest ning kasutatud sõnastiku suurusest ja kvaliteedist, kuid edukuse määr võib ületada 70%.
Edukuse määra saab veelgi tõsta sõnade segamise algoritmidega. Need algoritmid võtavad paroolisõnastiku iga sõna ja muudavad seda seejärel veidi. Need muudatused on tavaliselt tavalised tähemärkide asendused ja lõppnumbrite või sümbolite lisamine. Näiteks on tavaline, et inimesed asendavad tähe "e" tähega "3" ja "s" tähega "$" või lisavad lõppu hüüumärgi. Sõnade segamise algoritmid loovad paroolisõnastiku igast kirjest duplikaadid. Igal duplikaadil on nende tähemärkide asenduste variatsioonid. See suurendab oluliselt äraarvatavate paroolide arvu ja suurendab ka edukuse määra, mõnel juhul üle 90%.
Järeldus
Sõnaraamaturünnak on toore jõu rünnaku sihitud variatsioon. Selle asemel, et proovida kõiki võimalikke märgikombinatsioone, testitakse märgikombinatsioonide alamhulka. See alamhulk on loend paroolidest, mis on varem leitud ja vajadusel murtud varasemate andmetega seotud rikkumiste käigus. See vähendab oluliselt varem kasutatud ja mõnel juhul sageli nähtud paroole hõlmavate oletuste arvu. Sõnaraamaturünnak ei ole nii edukas kui toore jõu rünnak. See aga eeldab, et teil on piiramatu aeg ja töötlemisvõimsus. Sõnaraamaturünnak kipub saavutama piisavalt kõrge edukuse palju kiiremini kui toore jõu rünnak. Seda seetõttu, et see ei raiska aega äärmiselt ebatõenäolistele tähemärkide kombinatsioonidele.
Üks peamisi asju, mida peaksite parooli leidmisel tegema, on veenduda, et see ei ilmuks sõnaloendisse. Üks võimalus selleks on teha keeruline parool, teine aga pikk parool. Üldiselt on parim valik teha pikk, mõnest sõnast koosnev parool. On oluline, et need sõnad ei moodustaks tegelikku fraasi, nagu võiks arvata. Need peaksid olema täiesti sõltumatud. Soovitatav on valida parool, mis on pikem kui 10 tähemärki, millest 8 on absoluutne miinimum.