डिक्शनरी अटैक क्या है?

अनेक वस्तुओं का संग्रहJul 29, 2023
click fraud protection

किसी वेबसाइट को प्रमाणित करने के लिए, आपको एक उपयोगकर्ता नाम और पासवर्ड प्रदान करना होगा। इसके बाद साइट आपके द्वारा प्रदान किए गए प्रमाणीकरण विवरणों की अपने डेटाबेस में संग्रहीत विवरणों से तुलना करके जांच करती है। यदि विवरण मेल खाता है, तो पहुंच प्रदान की जाती है। यदि विवरण मेल नहीं खाते हैं, तो पहुंच अस्वीकृत कर दी जाती है।

दुर्भाग्य से, डेटा उल्लंघन एक अपेक्षाकृत सामान्य घटना है। डेटा उल्लंघन एक बड़ी समस्या हो सकती है क्योंकि सबसे अधिक लक्षित डेटा के बिट्स में से एक उपयोगकर्ता डेटा है, विशेष रूप से उपयोगकर्ता नाम और पासवर्ड की सूची। यदि पासवर्ड वैसे ही सादे टेक्स्ट में संग्रहीत किए जाते हैं तो डेटाबेस तक पहुंच रखने वाला कोई भी व्यक्ति किसी अन्य उपयोगकर्ता के खाते तक पहुंच सकता है। यह ऐसा है मानो उन्हें किसी अपार्टमेंट बिल्डिंग के हर दरवाजे की चाबी के साथ एक चाबी का छल्ला सौंप दिया गया हो।

हालाँकि सबसे पहले डेटा उल्लंघनों को रोकने के लिए बहुत प्रयास किए जाते हैं, गहराई से बचाव की रणनीति की सिफारिश की जाती है। विशेष रूप से, सुरक्षा सलाह यह मानती है कि पासवर्ड को हैश किया जाना चाहिए, केवल पासवर्ड का हैश ही संग्रहीत किया जाना चाहिए। हैश फ़ंक्शन एक-तरफ़ा फ़ंक्शन है जो हमेशा समान इनपुट को समान आउटपुट में परिवर्तित करता है। हालाँकि, इनपुट में मामूली बदलाव भी पूरी तरह से अलग आउटपुट उत्पन्न करता है। गंभीर रूप से, फ़ंक्शन को उलटने और आउटपुट हैश को मूल इनपुट में वापस लाने का कोई तरीका नहीं है। हालाँकि, आप क्या कर सकते हैं, एक नया इनपुट हैश करें और देखें कि आउटपुट डेटाबेस में संग्रहीत हैश से मेल खाता है या नहीं। यदि ऐसा है तो आपको पता चल जाएगा कि पासवर्ड का मिलान हो गया है, बिना वास्तविक पासवर्ड जाने।

मददगार रूप से इसका मतलब यह भी है कि यदि कोई हमलावर डेटाबेस का उल्लंघन करता है, तो उन्हें तुरंत उपयोगी पासवर्ड की सूची नहीं मिलती है, इसके बजाय उन्हें हैश मिलता है। इन हैशों का उपयोग करने में सक्षम होने के लिए उन्हें क्रैक करने की आवश्यकता है।

स्मार्ट के साथ पासवर्ड हैश क्रैक करना

पासवर्ड हैश को क्रैक करना यह पता लगाने की प्रक्रिया है कि हैश किस मूल पासवर्ड का प्रतिनिधित्व करता है। क्योंकि हैश फ़ंक्शन को उलटने और हैश को पासवर्ड में बदलने का कोई तरीका नहीं है। हैश को क्रैक करने का एकमात्र तरीका पासवर्ड का अनुमान लगाना है। एक तरीका क्रूर बल के हमले का उपयोग करना है। इसमें वस्तुतः हर संभव पासवर्ड आज़माना शामिल है। इसका मतलब है "ए" से शुरू करना, दोनों मामलों में प्रत्येक अक्षर और प्रत्येक संख्या और प्रतीक को आज़माना। फिर हमलावर को सभी दो-वर्ण संयोजनों, तीन-वर्ण संयोजनों आदि को आज़माना होगा। हर बार जब आप कोई वर्ण जोड़ते हैं तो वर्णों के संभावित संयोजनों में वृद्धि तेजी से होती है। इससे लंबे पासवर्ड का कुशलतापूर्वक अनुमान लगाना मुश्किल हो जाता है, तब भी जब शक्तिशाली जीपीयू क्रैकिंग रिग्स के साथ तेज हैशिंग एल्गोरिदम का उपयोग किया जाता है।

उदाहरण के लिए, साइट की पासवर्ड आवश्यकताओं को देखकर और उन पासवर्डों को न आज़माकर कुछ प्रयास बचाए जा सकते हैं जो अनुमति देने के लिए बहुत छोटे होंगे या जिनमें कोई संख्या नहीं होगी। इससे कुछ समय की बचत होगी और यह अभी भी सभी स्वीकृत पासवर्डों को आज़माने वाले क्रूर बल के हमले की श्रेणी में फिट बैठता है। क्रूर बल धीमी गति से हमला करता है, - यदि बहुत अधिक प्रसंस्करण शक्ति के साथ लंबे समय तक छोड़ दिया जाए - अंततः किसी भी पासवर्ड को क्रैक कर देगा क्योंकि सभी संभावित संयोजनों की कोशिश की जाएगी।

क्रूर बल के हमलों के साथ समस्या यह है कि वे बहुत स्मार्ट नहीं होते हैं। शब्दकोश आक्रमण एक ऐसा प्रकार है जो अधिक लक्षित होता है। किसी भी संभावित पासवर्ड को आज़माने के बजाय, यह निर्दिष्ट पासवर्डों की एक सूची आज़माता है। इस प्रकार के हमले की सफलता पासवर्ड की सूची और संबंधित शब्दकोश पर निर्भर करती है।

शिक्षित अनुमान लगाना

पासवर्ड शब्दकोश आमतौर पर अन्य डेटा उल्लंघनों से पहले क्रैक किए गए पासवर्ड से बनाए जाते हैं। इन शब्दकोशों में हजारों या लाखों प्रविष्टियाँ हो सकती हैं। यह इस अवधारणा पर आधारित है कि लोग अद्वितीय पासवर्ड बनाने में बुरे होते हैं। दुर्भाग्यवश, डेटा उल्लंघनों के साक्ष्य भी यही दर्शाते हैं। लोग अभी भी "पासवर्ड" शब्द पर विभिन्न प्रकार का उपयोग करते हैं। अन्य सामान्य विषय हैं खेल टीमें, पालतू जानवरों के नाम, स्थान के नाम, कंपनी के नाम, अपनी नौकरी से नफरत और तारीख के आधार पर पासवर्ड। यह विशेष रूप से तब घटित होता है जब लोगों को नियमित रूप से अपने पासवर्ड बदलने के लिए मजबूर किया जाता है।

पासवर्ड डिक्शनरी का उपयोग करने से क्रूर-बल के हमले की तुलना में लगाए जाने वाले अनुमानों की संख्या काफी कम हो जाती है। पासवर्ड शब्दकोशों में छोटे और लंबे दोनों तरह के पासवर्ड होते हैं, जिसका अर्थ है कि कुछ पासवर्ड आज़माए जा सकते हैं, जिन तक वर्षों या बहुत अधिक प्रयास के बाद भी अनुमान नहीं लगाया जा सकता है। यह तरीका सफल भी साबित होता है. आँकड़े डेटा उल्लंघन और उपयोग किए गए शब्दकोश के आकार और गुणवत्ता के आधार पर भिन्न होते हैं लेकिन सफलता दर 70% से अधिक हो सकती है।

वर्ड मैंगलिंग एल्गोरिदम के साथ सफलता दर को और भी बढ़ाया जा सकता है। ये एल्गोरिदम पासवर्ड डिक्शनरी में प्रत्येक शब्द लेते हैं और फिर इसे थोड़ा संशोधित करते हैं। ये संशोधन मानक वर्ण प्रतिस्थापन और पिछली संख्याओं या प्रतीकों को जोड़ने वाले होते हैं। उदाहरण के लिए, लोगों के लिए "ई" अक्षर को "3" और "एस" को "$" से बदलना या अंत में विस्मयादिबोधक चिह्न जोड़ना आम बात है। वर्ड मैंगलिंग एल्गोरिदम पासवर्ड डिक्शनरी में प्रत्येक प्रविष्टि के डुप्लिकेट बनाते हैं। प्रत्येक डुप्लिकेट में इन वर्ण प्रतिस्थापनों की एक अलग भिन्नता होती है। इससे अनुमान लगाने के लिए पासवर्ड की संख्या काफी बढ़ जाती है और सफलता दर भी बढ़ जाती है, कुछ मामलों में 90% से ऊपर।

निष्कर्ष

शब्दकोश हमला एक क्रूर बल हमले का एक लक्षित रूपांतर है। सभी संभावित वर्ण संयोजनों का प्रयास करने के बजाय, वर्ण संयोजनों के एक सबसेट का परीक्षण किया जाता है। यह उपसमूह उन पासवर्डों की एक सूची है जो पहले पाए गए हैं और यदि आवश्यक हो तो पिछले डेटा उल्लंघनों में क्रैक किए गए हैं। यह उन पासवर्डों को कवर करते समय लगाए जाने वाले अनुमानों की संख्या को बड़े पैमाने पर कम कर देता है जो पहले उपयोग किए जा चुके हैं, और कुछ मामलों में, अक्सर देखे जाते हैं। एक शब्दकोश हमले की सफलता दर क्रूर बल के हमले जितनी अधिक नहीं होती है। हालाँकि, यह माना जाता है कि आपके पास असीमित समय और प्रसंस्करण शक्ति है। एक शब्दकोश हमले में एक क्रूर बल के हमले की तुलना में बहुत तेजी से उच्च सफलता दर प्राप्त होती है। ऐसा इसलिए है क्योंकि यह पात्रों के अत्यधिक असंभावित संयोजनों पर समय बर्बाद नहीं करता है।

पासवर्ड बनाते समय आपको जो मुख्य काम करना चाहिए उनमें से एक यह सुनिश्चित करना है कि यह किसी शब्द सूची में दिखाई न दे। ऐसा करने का एक तरीका जटिल पासवर्ड बनाना है, दूसरा लंबा पासवर्ड बनाना है। आम तौर पर, सबसे अच्छा विकल्प कुछ शब्दों से बना एक लंबा पासवर्ड बनाना है। यह बस इतना महत्वपूर्ण है कि वे शब्द वास्तविक वाक्यांश न बनें क्योंकि इसका अनुमान लगाया जा सकता है। उन्हें पूरी तरह से असंबंधित होना चाहिए. यह अनुशंसा की जाती है कि आप 10 अक्षरों से अधिक का पासवर्ड चुनें जिसमें न्यूनतम 8 अक्षर हों।