Jotta voit todentaa verkkosivuston, sinun on annettava käyttäjätunnus ja salasana. Sivusto tarkistaa sitten antamasi todennustiedot vertaamalla niitä tietokantaansa tallentamiin tietoihin. Jos tiedot täsmäävät, käyttöoikeus myönnetään. Jos tiedot eivät täsmää, pääsy estetään.
Valitettavasti tietomurrot ovat suhteellisen yleisiä. Tietomurrot voivat olla suuri ongelma, koska yksi yleisimmin kohdennetuista tiedoista on käyttäjätiedot, erityisesti käyttäjätunnus- ja salasanaluettelo. Jos salasanat on tallennettu sellaisenaan, selkokielisenä, kuka tahansa, jolla on pääsy tietokantaan, voi sitten käyttää minkä tahansa muun käyttäjän tiliä. Tuntuu kuin heille olisi annettu avainrengas, jossa on avain kerrostalon jokaiseen oveen.
Vaikka tietomurtojen estämiseksi tehdään paljon vaivaa, suositellaan perusteellista puolustusstrategiaa. Erityisesti turvallisuusohjeissa sanotaan, että salasanat tulee tiivistää siten, että vain salasanan hajautus tallennetaan. Hajautusfunktio on yksisuuntainen funktio, joka muuntaa aina saman syötteen samaksi ulostuloksi. Pienikin muutos syötteessä tuottaa kuitenkin täysin erilaisen tuoton. Kriittisesti ei ole mahdollista kääntää funktiota ja kääntää tulostettua tiivistettä takaisin alkuperäiseen tuloon. Voit kuitenkin tiivistää uuden syötteen ja tarkistaa, vastaako tulos tietokantaan tallennettua tiivistettä. Jos se tietää osuvan salasanan, etkä koskaan tiedä todellista salasanaa.
Tämä tarkoittaa myös sitä, että jos hyökkääjä rikkoo tietokantaa, hän ei saa luetteloa välittömästi hyödyllisistä salasanoista, vaan he saavat sen sijaan tiivisteet. Jotta näitä tiivisteitä voidaan käyttää, ne täytyy murtaa.
Salasanojen hajautusten murtaminen älykkäillä keinoilla
Salasanan tiivisteen murtaminen on prosessi, jossa selvitetään, mitä tiiviste edustaa alkuperäistä salasanaa. Koska hash-toimintoa ei voi kääntää ja muuttaa tiivistettä salasanaksi. Ainoa tapa murtaa hash on arvata salasana. Yksi tapa on käyttää raa'an voiman hyökkäystä. Tämä tarkoittaa kirjaimellisesti jokaisen mahdollisen salasanan kokeilemista. Tämä tarkoittaa, että aloitat "a: sta" ja kokeilet jokaista kirjainta molemmissa tapauksissa sekä jokaista numeroa ja symbolia. Sitten hyökkääjän on kokeiltava kaikkia kahden merkkien yhdistelmiä, kolmen merkin yhdistelmiä ja niin edelleen. Mahdollisten merkkiyhdistelmien määrä lisääntyy eksponentiaalisesti joka kerta, kun lisäät merkin. Tämä tekee pitkien salasanojen tehokkaan arvaamisen vaikeaksi, vaikka nopeita hajautusalgoritmeja käytettäisiin tehokkaiden GPU-murtolaitteiden kanssa.
Vaivaa voi säästää katsomalla sivuston salasanavaatimuksia eikä kokeile salasanoja, jotka olisivat liian lyhyitä sallittavaksi tai joissa ei ole esimerkiksi numeroa. Tämä säästäisi aikaa ja sopii silti raa'an voiman hyökkäykseen, joka yrittää kaikkia sallittuja salasanoja. Raakavoimaiset hyökkäykset, vaikka ne ovat hitaita, murtavat lopulta minkä tahansa salasanan, koska kaikki mahdolliset yhdistelmät kokeillaan.
Raakavoimahyökkäysten ongelma on, että ne eivät ole kovin älykkäitä. Sanakirjahyökkäys on muunnelma, joka on paljon kohdistetumpi. Sen sijaan, että yrittäisi vain mitä tahansa mahdollista salasanaa, se yrittää luetteloa määritetyistä salasanoista. Tämän tyyppisen hyökkäyksen onnistuminen riippuu salasanojen luettelosta ja kyseisestä sanakirjasta.
Tehdään valistuneita arvauksia
Salasanasanakirjat on yleensä rakennettu aiemmin murretuista salasanoista muista tietomurroista. Nämä sanakirjat voivat sisältää tuhansia tai miljoonia merkintöjä. Tämä perustuu käsitykseen, että ihmiset ovat huonoja luomaan ainutlaatuisia salasanoja. Todisteet tietomurroista osoittavat, että näin on myös valitettavasti. Ihmiset käyttävät edelleen muunnelmia sanasta "salasana". Muita yleisiä aiheita ovat urheilujoukkueet, lemmikkien nimet, paikannimet, yritysten nimet, työsi vihaaminen ja päivämäärään perustuvat salasanat. Tämä jälkimmäinen tapahtuu erityisesti silloin, kun ihmiset pakotetaan vaihtamaan salasanansa säännöllisesti.
Salasanasanakirjan käyttö vähentää huomattavasti tarvittavien arvausten määrää verrattuna raa'an voiman hyökkäykseen. Salasanasanakirjat sisältävät myös yleensä sekä lyhyitä että pidempiä salasanoja, mikä tarkoittaa, että joitain salasanoja voidaan kokeilla, joita ei saavuteta edes vuosien tai raa'an voiman arvailulla. Lähestymistapa osoittautuu myös onnistuneeksi. Tilastot vaihtelevat tietomurron sekä käytetyn sanakirjan koon ja laadun mukaan, mutta onnistumisprosentti voi ylittää 70 %.
Menestysprosenttia voidaan nostaa entisestään sanankäsittelyalgoritmeilla. Nämä algoritmit ottavat jokaisen sanan salasanasanakirjasta ja muokkaavat sitä sitten hieman. Nämä muutokset ovat yleensä tavallisia merkkien korvauksia ja perässä olevien numeroiden tai symbolien lisäämistä. Esimerkiksi on yleistä, että ihmiset korvaavat kirjaimen "e" kirjaimella "3" ja "s"-kirjaimen "$" tai lisäävät huutomerkin loppuun. Sanojen muokkausalgoritmit luovat kopiot jokaisesta salasanasanakirjan merkinnästä. Jokaisella kaksoiskappaleella on erilainen muunnelma näistä merkkien korvauksista. Tämä lisää merkittävästi arvattavien salasanojen määrää ja lisää myös onnistumisprosenttia, joissakin tapauksissa yli 90 %.
Johtopäätös
Sanakirjahyökkäys on kohdistettu muunnelma raa'an voiman hyökkäyksestä. Kaikkien mahdollisten merkkiyhdistelmien yrittämisen sijaan testataan merkkiyhdistelmien osajoukko. Tämä osajoukko on luettelo salasanoista, jotka on aiemmin löydetty ja tarvittaessa murrettu aiempien tietomurtojen yhteydessä. Tämä vähentää huomattavasti tehtävien arvausten määrää peittäessään aiemmin käytettyjä ja joissakin tapauksissa usein nähtyjä salasanoja. Sanakirjahyökkäyksellä ei ole yhtä suurta onnistumisprosenttia kuin raakavoimahyökkäyksellä. Tämä kuitenkin edellyttää, että sinulla on rajoittamaton aika ja käsittelyteho. Sanakirjahyökkäyksellä on taipumus saada kohtuullisen korkea onnistumisprosentti paljon nopeammin kuin raa'an voiman hyökkäys. Tämä johtuu siitä, että se ei tuhlaa aikaa erittäin epätodennäköisiin merkkiyhdistelmiin.
Yksi tärkeimmistä asioista, jotka sinun tulee tehdä salasanaa keksiessäsi, on varmistaa, että se ei näy sanaluettelossa. Yksi tapa tehdä se on tehdä monimutkainen salasana, toinen on tehdä pitkä salasana. Yleensä paras vaihtoehto on tehdä pitkä salasana, joka koostuu muutamasta sanasta. On vain tärkeää, että nämä sanat eivät muodosta todellista lausetta, kuten voisi arvata. Niiden pitäisi olla täysin riippumattomia. Suosittelemme, että valitset yli 10 merkin pituisen salasanan niin, että 8 on ehdoton minimi.