Kaip nulaužti slaptažodžius

Trumpa pastaba - šis straipsnis yra apie slaptažodžių nulaužimo teoriją. Suprasti, kaip kibernetiniai nusikaltėliai vykdo atakas, yra nepaprastai svarbu, norint suprasti, kaip apsaugoti sistemas nuo tokio tipo atakų.

Bandymas įsilaužti į jums nepriklausančią sistemą jūsų jurisdikcijoje greičiausiai yra neteisėtas (be to, įsilaužimas į jūsų pačių sistemas gali [ir dažnai pažeidžia] bet kokią to produkto garantiją).

Pradėkime nuo pagrindų. Kas yra žiaurios jėgos ataka?

Šio tipo ataka apima pakartotinį bandymą prisijungti kaip vartotojui, išbandant visas įmanomas raidžių, skaičių ir simbolių kombinacijas (naudojant automatinius įrankius).

Tai galima padaryti internetu (taigi realiuoju laiku, nuolat bandant skirtingus naudotojo vardo / slaptažodžio derinius tokiose paskyrose kaip socialinė žiniasklaida ar bankininkystės svetainės) arba neprisijungus (pavyzdžiui, jei jūs gavote maišų slaptažodžių rinkinį ir bandote nulaužti) juos neprisijungus).

Ne visada galima neprisijungus (gali būti sunku gauti maišytų slaptažodžių rinkinį), tačiau jis yra daug mažiau triukšmingas. Taip yra todėl, kad saugos komanda tikriausiai pastebės daug, daug nepavykusių prisijungimo abonementų iš tos pačios paskyros, tačiau, jei slaptažodį galėsite nulaužti neprisijungę, neturėsite nepavykusių bandymų prisijungti įrašo.

Tai gana lengva su trumpu slaptažodžiu. Dėl ilgesnio slaptažodžio jis tampa eksponentiškai sunkesnis dėl daugybės galimybių.

Pvz., Jei žinote, kad kažkas naudoja 5 simbolių ilgio slaptažodį, sudarytą tik iš mažųjų raidžių, bendras galimų slaptažodžių skaičius yra 26 ^ 5 (26 galimi laiškai, kuriuos galite pasirinkti pirmajai, 26 galimi antrosios raidės variantai) raidė ir pan.), arba 11 881 376 galimi deriniai.

Bet jei kas nors naudoja 11 simbolių slaptažodį, tik iš mažųjų raidžių, bendras galimų slaptažodžių skaičius yra 26 ^ 11 arba 3 670 344 486 987 776 galimi slaptažodžiai.

Kai pridedate didžiąsias raides, specialiuosius simbolius ir skaičius, tai tampa dar sunkiau ir užtrunka daug kartų. Kuo daugiau galimų slaptažodžių, tuo sunkiau kam nors sėkmingai prisijungti prie žiaurios jėgos atakos.

Kaip apsisaugoti

Nuo tokio tipo atakų galima apsiginti keliais skirtingais būdais. Pirma, galite naudoti pakankamai ilgus, sudėtingus slaptažodžius (bent 15 simbolių). Taip pat galite naudoti unikalius kiekvienos paskyros slaptažodžius (naudokite slaptažodžių tvarkytuvę!), Kad sumažintumėte duomenų pažeidimų keliamą pavojų.

Apsaugos komanda gali užrakinti paskyrą po tam tikro nesėkmingų bandymų prisijungti. Jie taip pat gali priversti naudoti antrinį patvirtinimo metodą, pvz., „Captcha“, arba naudoti 2 veiksnių autentifikavimą (2FA), kuriam reikalingas antrasis kodas (SMS ar el. Pašto, programos ar aparatūros rakto pagrindu).

Čia yra straipsnis apie tai, kaip įvykdyti žiaurios jėgos puolimą.

Kaip greičiau nulaužti slaptažodžius?

Žodyno ataka apima bandymą pakartotinai prisijungti bandant keletą derinių, įtrauktų į iš anksto sukurtą „žodyną“ arba jų sąrašą.

Paprastai tai yra greitesnė už žiaurios jėgos ataką, nes raidžių ir skaičių deriniai jau buvo apskaičiuoti, taupant jūsų laiką ir skaičiavimo galią.

Bet jei slaptažodis yra pakankamai sudėtingas (pvz., 1098324ukjbfnsdfsnej) ir jo nėra „žodyne“ (iš anksto sudarytame derinių sąraše, iš kurio dirbate), ataka neveiks.

Tai dažnai pavyksta, nes dažnai žmonės, pasirinkdami slaptažodžius, pasirenka įprastus žodžius ar jų variantus (pvz., „Slaptažodis“ arba „p @ SSword“).

Įsilaužėlis taip pat gali naudoti tokio tipo atakas, kai žino ar atspėja dalį slaptažodžio (pavyzdžiui, šuns vardą, vaikų gimtadienius ar jubiliejų - informaciją, kurią įsilaužėlis gali rasti socialinės žiniasklaidos puslapiuose ar kituose atvirojo šaltinio šaltiniuose).

Panašios apsaugos priemonės, kaip aprašyta aukščiau prieš žiaurios jėgos išpuolius, gali užkirsti kelią tokio tipo atakoms.

Ką daryti, jei jau turite maišų slaptažodžių sąrašą?

Slaptažodžiai saugomi / etc / shadow faile, skirtame „Linux“, ir C: \ Windows \ System32 \ config faile „Windows“ (kurie nėra prieinami, kai įkeliama operacinė sistema).

Jei pavyko gauti šį failą arba jei slaptažodžio maišos gavote kitu būdu, pvz., Uostydami srautą tinkle, galite pabandyti nulaužti slaptažodį neprisijungus.

Nors pirmiau minėtoms atakoms reikia pakartotinai bandyti prisijungti, jei turite maišų slaptažodžių sąrašą, galite pabandyti juos nulaužti savo kompiuteryje, nenustatydami įspėjimų, kuriuos sugeneravo pakartotiniai nepavykę prisijungimo bandymai. Tada bandote prisijungti tik vieną kartą, kai sėkmingai nulaužėte slaptažodį (ir todėl nepavyksta prisijungti).

Galite naudoti grubios jėgos išpuolius ar žodyno išpuolius prieš maišos failus ir gali būti sėkmingas, atsižvelgiant į tai, koks maišos stiprumas yra.

Palauk minutę - kas maišo?

35D4FFEF6EF231D998C6046764BB935D

Atpažinti šią žinutę? Jis sako „Sveiki, mano vardas yra meganas“

7DBDA24A2D10DAF98F23B95CFAF1D3AB

Tai yra pirmoji šio straipsnio pastraipa. Taip, tai atrodo nesąmonė, bet iš tikrųjų tai yra „maišos“.

Maišos funkcija leidžia kompiuteriui įvesti eilutę (tam tikrą raidžių, skaičių ir simbolių derinį), paimti tą eilutę, sumaišyti ir išleisti fiksuoto ilgio eilutę. Štai kodėl abi viršuje esančios eilutės yra vienodo ilgio, nors eilučių įvestys buvo labai skirtingos.

Maišus galima sukurti iš beveik bet kokio skaitmeninio turinio. Iš esmės visą skaitmeninį turinį galima sutrumpinti iki dvejetainio arba 0 ir 1 sekų. Todėl visą skaitmeninį turinį (vaizdus, ​​dokumentus ir kt.) Galima maišyti.

Yra daugybė skirtingų maišos funkcijų, kai kurios iš jų yra saugesnės nei kitos. Pirmiau nurodyti maišos buvo sugeneruotos naudojant MD5 (MD reiškia „Pranešimų santrauka“). Skirtingos funkcijos taip pat skiriasi nuo jų sukurto maišos ilgio.

Tas pats turinys toje pačioje maišos funkcijoje visada sukurs tą patį maišos variantą. Tačiau net ir nedidelis pakeitimas visiškai pakeis maišos variantą. Pavyzdžiui,

2FF5E24F6735B7564CAE7020B41C80F1

Ar maiša „Sveiki, mano vardas yra Megan“, vien tik raidės „Megan“ rašymas didžiąja raide „M“ visiškai pakeitė maišos iš viršaus.

Maišos taip pat yra vienpusės funkcijos (tai reiškia, kad jų negalima pakeisti). Tai reiškia, kad maišos (unikalios ir vienpusės) gali būti naudojamos kaip skaitmeninio turinio pirštų atspaudų rūšis.

Koks yra maišų naudojimo pavyzdys?

Maišos gali būti naudojamos kaip patvirtinimas, kad pranešimas nepakeistas.

Pavyzdžiui, kai siunčiate el. Laišką, galite maišyti visą el. Laišką ir taip pat išsiųsti maišos. Tada gavėjas gali paleisti gautą pranešimą naudodamas tą pačią maišos funkciją, kad patikrintų, ar pranešimas nebuvo sugadintas perduodant. Jei du maišos sutampa, pranešimas nebuvo pakeistas. Jei jie nesutampa, pranešimas buvo pakeistas.

Be to, slaptažodžiai paprastai maišo, kai jie yra saugomi. Kai vartotojas įveda savo slaptažodį, kompiuteris apskaičiuoja maišos vertę ir palygina su saugoma maišos verte. Tokiu būdu kompiuteris nesaugo slaptažodžių paprastu tekstu (todėl kai kurie apgaulingi įsilaužėliai negali jų pavogti!).

Jei kas nors gali pavogti slaptažodžio failą, duomenys yra nenaudingi, nes funkcijos negalima pakeisti (nors yra būdų, pavyzdžiui, vaivorykštės lentelės, išsiaiškinti, koks paprastas tekstas sukuria žinomą maišos variantą).

Kokia yra maišų problema?

Jei maiša gali priimti bet kokio ilgio ar turinio duomenis, yra neribotos galimybės, kurias galima maišyti.

Kadangi maiša konvertuoja šį tekstą į fiksuoto ilgio turinį (pavyzdžiui, 32 simbolius), maišos derinių yra galutinis skaičius. Tai labai labai daug galimybių, bet ne begalinė.

Galų gale du skirtingi duomenų rinkiniai suteiks tą pačią maišos vertę. Tai vadinama susidūrimu.

Jei turite vieną maišos versiją ir bandote pereiti kiekvieną įmanomą paprastojo teksto vertę, kad rastumėte paprastą tekstą, kuris atitiktų jūsų maišos variantą, tai bus labai ilgas, labai sunkus procesas.

Tačiau ką daryti, jei nesvarbu, kurie du maišos susiduria?

Matematikoje tai vadinama „gimtadienio problema“. 23 mokinių klasėje tikimybė, kad tam tikrą dieną kažkas turės gimtadienį, yra apie 7%, tačiau tikimybė, kad du žmonės turi tą patį gimtadienį, yra maždaug 50%.

Maišo funkcijoms galima pritaikyti tą patį analizės tipą, kad būtų galima rasti bet kokius du sutampančius maišus (vietoj konkretaus maišo, kuris atitiktų kitus).

Norėdami to išvengti, galite naudoti ilgesnes maišos funkcijas, tokias kaip SHA3, kur susidūrimo galimybė yra mažesnė.

Galite pabandyti sugeneruoti savo maišos funkcijas SHA3 čia ir MD5 čia.  

Galite pabandyti griauti jėgos maišos, tačiau tai užtrunka labai ilgai. Spartesnis būdas tai padaryti yra naudoti iš anksto apskaičiuotas vaivorykštės lenteles (kurios yra panašios į žodynų atakas).

Atrodo, kad įsilaužti tikrai lengva. Ar turėčiau jaudintis?

Svarbiausia įsiminti apie įsilaužimą yra tai, kad niekas nenori atlikti daugiau darbų nei turi. Pavyzdžiui, grubus maišų įpurškimas gali užimti daug laiko ir būti sudėtingas. Jei yra lengvesnis būdas gauti slaptažodį, tikriausiai tai pirmiausia išbandys piktadarys aktorius.

Tai reiškia, kad įgalinti pagrindinę kibernetinio saugumo geriausią praktiką yra bene paprasčiausias būdas išvengti įsilaužimo. Tiesą sakant, „Microsoft“ neseniai pranešė, kad vien įjungus 2FA, bus blokuojama 99,9% automatinių atakų.

Papildomas skaitymas:

Populiarūs slaptažodžių nulaužimo įrankiai