რა არის ლექსიკონის შეტევა?

MiscellaneaJul 29, 2023
click fraud protection

ვებსაიტზე ავთენტიფიკაციისთვის, თქვენ უნდა მიუთითოთ მომხმარებლის სახელი და პაროლი. ამის შემდეგ საიტი ამოწმებს თქვენს მიერ მოწოდებულ ავტორიზაციის დეტალებს, ადარებს მათ იმ დეტალებს, რომლებიც ინახავს მონაცემთა ბაზაში. თუ დეტალები ემთხვევა, წვდომა მინიჭებულია. თუ დეტალები არ ემთხვევა, წვდომა აკრძალულია.

სამწუხაროდ, მონაცემთა დარღვევა შედარებით ხშირი მოვლენაა. მონაცემთა დარღვევა შეიძლება იყოს დიდი პრობლემა, რადგან მონაცემთა ერთ-ერთი ყველაზე ხშირად მიმართული არის მომხმარებლის მონაცემები, კონკრეტულად მომხმარებლის სახელებისა და პაროლების სია. თუ პაროლები უბრალოდ ინახება ისე, როგორც არის, უბრალო ტექსტში, მაშინ ნებისმიერს, ვისაც აქვს წვდომა მონაცემთა ბაზაში, შეუძლია წვდომა ნებისმიერი სხვა მომხმარებლის ანგარიშზე. თითქოს ბინის კორპუსში ყველა კარის გასაღებს გადასცეს გასაღებები.

მიუხედავად იმისა, რომ დიდი ძალისხმევა იხარჯება მონაცემთა დარღვევის თავიდან ასაცილებლად, რეკომენდებულია სიღრმისეული თავდაცვის სტრატეგია. კერძოდ, უსაფრთხოების რჩევები ამტკიცებს, რომ პაროლები უნდა იყოს გაშიფრული, მხოლოდ პაროლის ჰეშით შენახული. ჰეშის ფუნქცია არის ცალმხრივი ფუნქცია, რომელიც ყოველთვის გარდაქმნის ერთსა და იმავე შეყვანას იმავე გამოსავალში. თუმცა, შეყვანის უმნიშვნელო ცვლილებაც კი სრულიად განსხვავებულ გამომავალს აწარმოებს. კრიტიკულად, არ არსებობს ფუნქციის შებრუნების და გამოტანილი ჰეშის თავდაპირველ შეყვანაში დაბრუნება. თუმცა, რისი გაკეთებაც შეგიძლიათ, არის ჰაშიშით ახალი შეყვანა და ნახოთ, ემთხვევა თუ არა გამომავალი მონაცემთა ბაზაში შენახულ ჰეშს. თუ იცით, პაროლი ემთხვევა, ფაქტობრივი პაროლის გარეშე.

ეს ასევე ნიშნავს, რომ თუ თავდამსხმელი არღვევს მონაცემთა ბაზას, ისინი არ იღებენ დაუყოვნებლივ სასარგებლო პაროლების ჩამონათვალს, ისინი იღებენ ჰეშებს. იმისათვის, რომ შეძლოთ ამ ჰეშების გამოყენება, საჭიროა მათი გატეხვა.

პაროლის ჰეშების გატეხვა სმარტებით

პაროლის ჰეშის გატეხვა არის შემუშავების პროცესი, თუ რა არის ორიგინალური პაროლი, რომელსაც ჰეში წარმოადგენს. იმის გამო, რომ არ არსებობს გზა, რომ შეცვალოს ჰეშის ფუნქცია და გადააქციოს ჰეში პაროლში. ჰეშის გატეხვის ერთადერთი გზა არის პაროლის გამოცნობა. ერთ-ერთი მეთოდია უხეში ძალის შეტევის გამოყენება. ეს ფაქტიურად გულისხმობს ყველა შესაძლო პაროლის ცდას. ეს ნიშნავს "ა"-დან დაწყებას, ყველა ასოს, ორივე შემთხვევაში, და ყველა რიცხვსა და სიმბოლოს. შემდეგ თავდამსხმელმა უნდა სცადოს ყველა ორსიმბოლოიანი კომბინაცია, სამი სიმბოლო და ა.შ. სიმბოლოების შესაძლო კომბინაციების ზრდა ექსპონენციალურია ყოველი სიმბოლოს დამატებისას. ეს ართულებს გრძელი პაროლების ეფექტურად გამოცნობას მაშინაც კი, როდესაც სწრაფი ჰეშირების ალგორითმები გამოიყენება GPU-ს კრეკინგის მძლავრი მოწყობილობებით.

გარკვეული ძალისხმევის დაზოგვა შესაძლებელია საიტის პაროლის მოთხოვნების დათვალიერებით და არ სცადეთ პაროლები, რომლებიც ძალიან მოკლე იქნება დასაშვებად ან არ შეიცავს რიცხვს, მაგალითად. ეს დაზოგავს გარკვეულ დროს და მაინც ჯდება უხეში ძალის შეტევის კლასში, რომელიც ცდილობს ყველა დაშვებულ პაროლს. უხეში ძალის შეტევები ნელი ტემპით - თუ საკმარისად დიდხანს დარჩება დიდი დამუშავების სიმძლავრით - საბოლოოდ გატეხავს ნებისმიერ პაროლს, რადგან ყველა შესაძლო კომბინაცია იქნება ცდა.

უხეში ძალის შეტევების პრობლემა ის არის, რომ ისინი არ არიან ძალიან ჭკვიანები. ლექსიკონის შეტევა არის ვარიანტი, რომელიც ბევრად უფრო მიზანმიმართულია. იმის ნაცვლად, რომ უბრალოდ სცადო რაიმე შესაძლო პაროლი, ის ცდის მითითებული პაროლების სიას. ამ ტიპის თავდასხმის წარმატება დამოკიდებულია პაროლების ჩამონათვალზე და მოცემულ ლექსიკონზე.

განათლებული ვარაუდების გაკეთება

პაროლის ლექსიკონები, როგორც წესი, აგებულია ადრე გატეხილი პაროლებიდან სხვა მონაცემთა დარღვევით. ეს ლექსიკონები შეიძლება შეიცავდეს ათასობით ან მილიონობით ჩანაწერს. ეს ემყარება იმ კონცეფციას, რომ ადამიანები ცუდად ქმნიან უნიკალურ პაროლებს. მონაცემების დარღვევის მტკიცებულებები გვიჩვენებს, რომ ეს ასევე ასეა, სამწუხაროდ. ხალხი კვლავ იყენებს ვარიაციებს სიტყვა "პაროლზე". სხვა საერთო თემებია სპორტული გუნდები, შინაური ცხოველების სახელები, ადგილების სახელები, კომპანიის სახელები, თქვენი სამუშაოს სიძულვილი და პაროლები თარიღის მიხედვით. ეს უკანასკნელი განსაკუთრებით ხშირად ხდება მაშინ, როდესაც ადამიანები იძულებულნი არიან რეგულარულად შეცვალონ თავიანთი პაროლები.

პაროლის ლექსიკონის გამოყენება მასიურად ამცირებს გამოცნობების რაოდენობას, რომლებიც უნდა გაკეთდეს უხეში ძალის შეტევასთან შედარებით. პაროლების ლექსიკონები ასევე, როგორც წესი, შეიცავს როგორც მოკლე, ისე გრძელ პაროლს, რაც ნიშნავს, რომ ზოგიერთი პაროლის ცდა შეიძლება, რომელთა მიღწევაც ვერ მოხერხდება წლების ან უხეში ძალის გამოცნობითაც კი. მიდგომა ასევე წარმატებულია. სტატისტიკა განსხვავდება მონაცემთა დარღვევის და გამოყენებული ლექსიკონის ზომისა და ხარისხის მიხედვით, მაგრამ წარმატების მაჩვენებელი შეიძლება აღემატებოდეს 70%-ს.

წარმატების კოეფიციენტები შეიძლება კიდევ უფრო გაიზარდოს სიტყვების დამახინჯების ალგორითმებით. ეს ალგორითმები იღებენ თითოეულ სიტყვას პაროლის ლექსიკონში და შემდეგ ოდნავ ცვლიან მას. ეს ცვლილებები, როგორც წესი, არის სიმბოლოების სტანდარტული ჩანაცვლება და ბოლო რიცხვების ან სიმბოლოების დამატება. მაგალითად, ჩვეულებრივ, ადამიანები ანაცვლებენ ასო "e"-ს "3"-ით და "s"-ით "$"-ით ან ბოლოში ძახილის ნიშნის დამატებას. სიტყვის დამახინჯების ალგორითმები ქმნიან პაროლის ლექსიკონში თითოეული ჩანაწერის დუბლიკატს. თითოეულ დუბლიკატს აქვს ამ სიმბოლოების ჩანაცვლების განსხვავებული ვარიაცია. ეს მნიშვნელოვნად ზრდის გამოსაცნობი პაროლების რაოდენობას და ასევე ზრდის წარმატების მაჩვენებელს, ზოგიერთ შემთხვევაში 90%-ზე მეტს.

დასკვნა

ლექსიკონის შეტევა არის უხეში ძალის შეტევის მიზანმიმართული ვარიაცია. სიმბოლოების ყველა შესაძლო კომბინაციის მცდელობის ნაცვლად, შემოწმებულია სიმბოლოთა კომბინაციების ქვეჯგუფი. ეს ქვეჯგუფი არის პაროლების სია, რომლებიც ადრე იქნა ნაპოვნი და საჭიროების შემთხვევაში გატეხილია წარსულში მონაცემების დარღვევის დროს. ეს მასიურად ამცირებს გამოცნობების რაოდენობას, რომლებიც უნდა გაკეთდეს ადრე გამოყენებული და ზოგიერთ შემთხვევაში ხშირად ნანახი პაროლების გაშუქებისას. ლექსიკონის შეტევას არ აქვს ისეთი მაღალი წარმატების მაჩვენებელი, როგორც უხეში ძალის შეტევას. თუმცა, ეს გულისხმობს, რომ თქვენ გაქვთ შეუზღუდავი დრო და დამუშავების ძალა. ლექსიკონის თავდასხმა მიდრეკილია ღირსეულად მაღალი წარმატების მაჩვენებელს ბევრად უფრო სწრაფად, ვიდრე უხეში ძალის შეტევა. ეს იმიტომ ხდება, რომ ის არ კარგავს დროს პერსონაჟების უკიდურესად საეჭვო კომბინაციებზე.

ერთ-ერთი მთავარი რამ, რაც უნდა გააკეთოთ პაროლის შექმნისას არის დარწმუნდეთ, რომ ის არ გამოჩნდება სიტყვების სიაში. ამის გაკეთების ერთი გზა არის რთული პაროლის შექმნა, მეორე არის გრძელი პაროლის შექმნა. ზოგადად, საუკეთესო ვარიანტია რამდენიმე სიტყვისგან შემდგარი გრძელი პაროლის შექმნა. უბრალოდ მნიშვნელოვანია, რომ ეს სიტყვები არ იყოს რეალური ფრაზა, როგორც ეს შეიძლება გამოიცნოთ. ისინი სრულიად უკავშირო უნდა იყვნენ. რეკომენდირებულია აირჩიოთ პაროლი 10 სიმბოლოზე მეტი 8 აბსოლუტური მინიმალური.