Lai autentificētos vietnē, jums ir jānorāda lietotājvārds un parole. Pēc tam vietne pārbauda jūsu sniegto autentifikācijas informāciju, salīdzinot to ar informāciju, ko tā ir saglabājusi savā datubāzē. Ja informācija sakrīt, piekļuve tiek piešķirta. Ja informācija nesakrīt, piekļuve tiek liegta.
Diemžēl datu pārkāpumi ir samērā izplatīta parādība. Datu pārkāpumi var būt liela problēma, jo viens no visbiežāk izmantotajiem datu bitiem ir lietotāja dati, jo īpaši lietotājvārdu un paroļu saraksts. Ja paroles tiek saglabātas tādas, kādas tās ir, vienkāršajā tekstā, tad ikviens, kam ir piekļuve datubāzei, var piekļūt jebkura cita lietotāja kontam. Tas ir tā, it kā viņiem tiktu pasniegts atslēgu piekariņš ar atslēgu pie katrām daudzdzīvokļu nama durvīm.
Lai gan vispirms tiek pieliktas lielas pūles, lai novērstu datu pārkāpumus, ir ieteicama padziļinātas aizsardzības stratēģija. Konkrēti, drošības ieteikumos teikts, ka paroles ir jājauc, saglabājot tikai paroles jaukto daļu. Jaukšanas funkcija ir vienvirziena funkcija, kas vienmēr pārvērš vienu un to pašu ievadi vienā izvadē. Tomēr pat nelielas izmaiņas ievadē rada pilnīgi atšķirīgu rezultātu. Būtiski, ka nav iespējas mainīt funkciju un pārvērst izvadīto jaucējfunkciju atpakaļ sākotnējā ievadē. Tomēr jūs varat sajaukt jaunu ievadi un pārbaudīt, vai izvade atbilst datu bāzē saglabātajam jaukumam. Ja jūs zināt, kāda parole ir saskaņota, nezinot patieso paroli.
Tas nozīmē arī to, ka, ja uzbrucējs pārkāpj datu bāzi, viņš nesaņem uzreiz noderīgu paroļu sarakstu, bet gan jaucējus. Lai varētu izmantot šos jaucējus, tie ir jāuzlauž.
Paroļu jaucējkodu uzlaušana ar gudrībām
Paroles jaucējkoda uzlaušana ir process, kurā tiek noskaidrota sākotnējā parole, kas ir jaucējkods. Tā kā nav iespējams mainīt jaucējfunkciju un pārvērst jaucēju paroli. Vienīgais veids, kā uzlauzt jaucējkodu, ir uzminēt paroli. Viena no metodēm ir izmantot brutālu spēku uzbrukumu. Tas burtiski ietver visas iespējamās paroles izmēģināšanu. Tas nozīmē, ka sāciet no “a”, izmēģinot katru burtu abos gadījumos un katru ciparu un simbolu. Tad uzbrucējam ir jāizmēģina visas divu rakstzīmju kombinācijas, trīs rakstzīmju kombinācijas utt. Iespējamo rakstzīmju kombināciju pieaugums ir eksponenciāls katru reizi, kad pievienojat rakstzīmi. Tas apgrūtina efektīvu garu paroļu uzminēšanu pat tad, ja ar jaudīgām GPU uzlaušanas ierīcēm tiek izmantoti ātrās jaukšanas algoritmi.
Var ietaupīt, apskatot vietnes paroles prasības un neizmēģinot, piemēram, paroles, kas būtu pārāk īsas, lai tās būtu atļautas, vai kurās nav, piemēram, numura. Tas ietaupītu laiku un joprojām atbilst rupja spēka uzbrukuma klasei, mēģinot izmantot visas atļautās paroles. Brutāla spēka uzbrukumi, kamēr tie ir lēni, — ja tas tiek atstāts pietiekami ilgi ar lielu apstrādes jaudu — galu galā uzlauzīs jebkuru paroli, jo tiks izmēģinātas visas iespējamās kombinācijas.
Problēma ar brutālā spēka uzbrukumiem ir tā, ka tie nav īpaši gudri. Vārdnīcas uzbrukums ir variants, kas ir daudz mērķtiecīgāks. Tā vietā, lai tikai mēģinātu jebkuru iespējamo paroli, tas izmēģina norādīto paroļu sarakstu. Šāda veida uzbrukuma panākumi ir atkarīgi no paroļu saraksta un attiecīgās vārdnīcas.
Izdarot izglītotus minējumus
Paroļu vārdnīcas parasti tiek veidotas no iepriekš uzlauztām parolēm no citiem datu pārkāpumiem. Šajās vārdnīcās var būt tūkstošiem vai miljoniem ierakstu. Tas balstās uz koncepciju, ka cilvēki slikti izveido unikālas paroles. Diemžēl pierādījumi par datu pārkāpumiem liecina, ka tas tā arī ir. Cilvēki joprojām izmanto vārda “parole” variācijas. Citas izplatītas tēmas ir sporta komandas, mājdzīvnieku nosaukumi, vietu nosaukumi, uzņēmumu nosaukumi, ienīst jūsu darbu un paroles, kuru pamatā ir datums. Šis pēdējais īpaši mēdz notikt, kad cilvēki ir spiesti regulāri mainīt savas paroles.
Paroles vārdnīcas izmantošana ievērojami samazina veicamo minējumu skaitu salīdzinājumā ar brutālu spēku uzbrukumu. Paroļu vārdnīcās mēdz būt gan īsas, gan garākas paroles, kas nozīmē, ka var tikt izmēģinātas dažas paroles, kuras nevarētu sasniegt pat ar gadiem vai rupju uzminēšanu. Arī pieeja izrādās veiksmīga. Statistika atšķiras atkarībā no datu pārkāpuma un izmantotās vārdnīcas lieluma un kvalitātes, taču panākumu līmenis var pārsniegt 70%.
Veiksmes rādītājus var vēl vairāk palielināt, izmantojot vārdu izjaukšanas algoritmus. Šie algoritmi ņem katru vārdu paroles vārdnīcā un pēc tam to nedaudz modificē. Šīs modifikācijas parasti ir standarta rakstzīmju aizstāšana un beigu skaitļu vai simbolu pievienošana. Piemēram, parasti cilvēki burtu “e” aizstāj ar “3” un “s” ar “$” vai beigās pievieno izsaukuma zīmi. Vārdu izjaukšanas algoritmi izveido katra ieraksta dublikātus paroles vārdnīcā. Katram dublikātam ir atšķirīgs šo rakstzīmju aizstāšanas variants. Tas ievērojami palielina uzminējamo paroļu skaitu, kā arī palielina panākumu līmeni, dažos gadījumos virs 90%.
Secinājums
Vārdnīcas uzbrukums ir brutāla spēka uzbrukuma mērķtiecīga variācija. Tā vietā, lai mēģinātu izmantot visas iespējamās rakstzīmju kombinācijas, tiek pārbaudīta rakstzīmju kombināciju apakškopa. Šī apakškopa ir to paroļu saraksts, kuras ir iepriekš atrastas un, ja nepieciešams, uzlauztas iepriekšējo datu pārkāpumu laikā. Tas ievērojami samazina minējumu skaitu, vienlaikus aptverot paroles, kas ir izmantotas iepriekš un dažos gadījumos bieži redzētas. Vārdnīcas uzbrukumam nav tik augsts panākumu līmenis kā brutāla spēka uzbrukumam. Tomēr tas nozīmē, ka jums ir neierobežots laiks un apstrādes jauda. Vārdnīcas uzbrukumam ir tendence iegūt pietiekami augstu panākumu līmeni daudz ātrāk, nekā to var veikt brutāla spēka uzbrukums. Tas ir tāpēc, ka tas netērē laiku ārkārtīgi maz ticamām rakstzīmju kombinācijām.
Viena no galvenajām lietām, kas jums jādara, izstrādājot paroli, ir nodrošināt, lai tā netiktu parādīta vārdu sarakstā. Viens veids, kā to izdarīt, ir izveidot sarežģītu paroli, bet otrs ir izveidot garu paroli. Parasti labākais risinājums ir izveidot garu paroli, kas sastāv no dažiem vārdiem. Ir tikai svarīgi, lai šie vārdi neradītu īstu frāzi, kā to varētu uzminēt. Tiem jābūt pilnīgi nesaistītiem. Ieteicams izvēlēties paroli, kas garāka par 10 rakstzīmēm un 8 rakstzīmes ir absolūtais minimums.