Πίνακας περιεχομένων:
Βίντεο: Privacy, Security, Society - Computer Science for Business Leaders 2016 2024
Η ρωγμή κωδικών υψηλής τεχνολογίας είναι ένας τύπος hacking που περιλαμβάνει τη χρήση προγραμμάτων που μαντέψουν κωδικό, καθορίζοντας όλους τους δυνατούς συνδυασμούς κωδικών πρόσβασης. Οι κύριες μέθοδοι εξουδετέρωσης κωδικών πρόσβασης είναι επιθέσεις με λεξικό, επιθέσεις βίαιης δύναμης και επιθέσεις ουράνιου τόξου.
Επιθέσεις λεξικών
Οι επιθέσεις λεξικού συγκρίνουν γρήγορα μια σειρά από γνωστές λέξεις τύπου λεξικού - συμπεριλαμβανομένων πολλών κοινών κωδικών πρόσβασης - σε βάση δεδομένων κωδικών πρόσβασης. Αυτή η βάση δεδομένων είναι ένα αρχείο κειμένου με εκατοντάδες αν όχι χιλιάδες λεξικές λέξεις που τυπικά παρατίθενται με αλφαβητική σειρά.
Για παράδειγμα, υποθέστε ότι έχετε ένα αρχείο λεξικού που έχετε κατεβάσει από έναν από τους ιστότοπους της παρακάτω λίστας. Το αρχείο αγγλικού λεξικού στην τοποθεσία Purdue περιέχει μία λέξη ανά γραμμή που αρχίζει με 10η, 1η … μέχρι το zygote.
Πολλά βοηθητικά προγράμματα εξουδετέρωσης κωδικού πρόσβασης μπορούν να χρησιμοποιήσουν ένα ξεχωριστό λεξικό που δημιουργείτε ή κάνετε λήψη από το Internet. Εδώ είναι μερικές δημοφιλείς τοποθεσίες που φιλοξενούν αρχεία λεξικών και άλλες διάφορες λίστες λέξεων:
-
ftp: // ftp. κεραίες. purdue. edu / pub / dict
-
www. outpost9. com / αρχεία / WordLists. html
Μην ξεχάσετε να χρησιμοποιήσετε και άλλα αρχεία γλώσσας, όπως τα Ισπανικά και Klingon.
Οι επιθέσεις με λεξικά είναι μόνο τόσο καλές όσο τα αρχεία λεξικών που παρέχετε στο πρόγραμμα διάσπασης κωδικών πρόσβασης. Μπορείτε εύκολα να περάσετε μέρες, ακόμα και εβδομάδες, προσπαθώντας να σπάσετε κωδικούς πρόσβασης με επίθεση λεξικού. Εάν δεν ρυθμίσετε κάποιο χρονικό όριο ή παρόμοια προσδοκία, θα διαπιστώσετε ότι το ρήγμα του λεξικού είναι συχνά μια απλή άσκηση στη ματαιότητα. Οι περισσότερες λεξικές επιθέσεις είναι καλές για αδύναμους (εύκολα μαντέψανοι) κωδικούς πρόσβασης.
Ωστόσο, μερικά ειδικά λεξικά έχουν κοινά ορθογραφικά λάθη ή εναλλακτικά ορθογραφικά λόγια, όπως το pa $$ w0rd (password) και το 5ecur1ty (ασφάλεια). Επιπλέον, τα ειδικά λεξικά μπορούν να περιέχουν μη αγγλικές λέξεις και θεματικές λέξεις από θρησκείες, πολιτικές ή Star Trek .
Επιθέσεις Brute-force
Οι επιθέσεις Brute-δύναμης μπορούν να σπάσουν σχεδόν κάθε κωδικό πρόσβασης, δεδομένου ότι έχουν αρκετό χρόνο. Οι βίαιες επιθέσεις προσπαθούν κάθε συνδυασμός αριθμών, γραμμάτων και ειδικών χαρακτήρων μέχρι να εντοπιστεί ο κωδικός πρόσβασης. Πολλά βοηθητικά προγράμματα εξουδετέρωσης κωδικού πρόσβασης σάς επιτρέπουν να ορίσετε τέτοια κριτήρια δοκιμής όπως τα σύνολα χαρακτήρων, το μήκος κωδικού πρόσβασης και τους γνωστούς χαρακτήρες (για επίθεση "μάσκας").
Μια δοκιμή βίαιης δύναμης μπορεί να διαρκέσει αρκετή ώρα, ανάλογα με τον αριθμό των λογαριασμών, τη σχετική πολυπλοκότητα του κωδικού πρόσβασης και την ταχύτητα του υπολογιστή που τρέχει το λογισμικό πυρόλυσης.Όσο ισχυρό είναι και ο έλεγχος της βίαιης δύναμης, μπορεί κυριολεκτικά να πάρει για πάντα την εξάντληση όλων των πιθανών συνδυασμών κωδικού πρόσβασης, ο οποίος στην πραγματικότητα δεν είναι πρακτικός σε κάθε περίπτωση.
Οι έξυπνοι χάκερ προσπαθούν να συνδεθούν αργά ή σε τυχαίες στιγμές, οπότε οι αποτυχημένες προσπάθειες δεν είναι τόσο προφανείς στα αρχεία καταγραφής συστήματος. Κάποιοι κακόβουλοι χρήστες ενδέχεται να καλέσουν ακόμη και το γραφείο υποστήριξης IT για να επιχειρήσουν την επαναφορά του λογαριασμού που μόλις απενεργοποίησαν. Αυτή η τεχνική κοινωνικής μηχανικής θα μπορούσε να είναι ένα σημαντικό ζήτημα, ειδικά αν ο οργανισμός δεν διαθέτει μηχανισμούς που να επιβεβαιώνουν ότι οι χρήστες είναι αυτοί που λένε ότι είναι.
Μπορεί ένας κωδικός που λήγει να αποτρέπει την επίθεση ενός χάκερ και να καταστήσει άχρηστο το λογισμικό καταστολής κωδικών πρόσβασης; Ναί. Αφού αλλάξει ο κωδικός πρόσβασης, η ρωγμή πρέπει να ξεκινήσει ξανά, αν ο χάκερ θέλει να δοκιμάσει όλους τους πιθανούς συνδυασμούς.
Αυτός είναι ένας λόγος για τον οποίο είναι καλή ιδέα να αλλάζετε περιοδικά τους κωδικούς πρόσβασης. Η συντόμευση του χρονικού διαστήματος αλλαγής μπορεί να μειώσει τον κίνδυνο ραγισμού των κωδικών πρόσβασης αλλά μπορεί επίσης να είναι πολιτικά δυσμενής στην επιχείρησή σας. Πρέπει να επιτύχετε μια ισορροπία μεταξύ ασφάλειας και ευκολίας / χρηστικότητας. Ανατρέξτε στο έγγραφο κατευθυντηρίων γραμμών διαχείρισης του κωδικού πρόσβασης του Υπουργείου Άμυνας των Ηνωμένων Πολιτειών για περισσότερες πληροφορίες σχετικά με αυτό το θέμα.
Οι προσπάθειες εξαντλητικής αποσύνθεσης με κωδικό πρόσβασης συνήθως δεν είναι απαραίτητες. Οι περισσότεροι κωδικοί πρόσβασης είναι αρκετά αδύναμοι. Ακόμη και οι ελάχιστες απαιτήσεις κωδικού πρόσβασης, όπως το μήκος του κωδικού πρόσβασης, μπορούν να σας βοηθήσουν στις δοκιμές σας. Ενδέχεται να μπορείτε να ανακαλύψετε πληροφορίες πολιτικής ασφαλείας χρησιμοποιώντας άλλα εργαλεία ή μέσω του προγράμματος περιήγησης ιστού. Εάν βρείτε αυτές τις πληροφορίες πολιτικής για τον κωδικό πρόσβασης, μπορείτε να διαμορφώσετε τα προγράμματα πυρόλυσης με πιο καλά καθορισμένες παραμέτρους ρωγμών, οι οποίες συχνά παράγουν ταχύτερα αποτελέσματα.
Επιθέσεις ουράνιου τόξου
Μια επίθεση με κωδικό πρόσβασης ουράνιου τόξου χρησιμοποιεί ράγισμα ουράνιου τόξου για να σπάσει πολύ γρήγορα τα λάθη κωδικού πρόσβασης για LM, NTLM, Cisco PIX και MD5 και με εξαιρετικά υψηλά ποσοστά επιτυχίας (κοντά στο 100%). Η ταχύτητα ράγισσης του κωδικού πρόσβασης αυξάνεται σε μια επίθεση ουράνιου τόξου επειδή οι χτυπήματα έχουν υπολογιστεί εκ των προτέρων και κατά συνέπεια δεν χρειάζεται να δημιουργούνται μεμονωμένα κατά τη διάρκεια της πτήσης όπως είναι με το λεξικό και τις μεθόδους πυρόλυσης με βίαιες δυνάμεις.
Σε αντίθεση με τις επιθέσεις λεξικών και βίαιων δυνάμεων, οι επιθέσεις ουράνιου τόξου δεν μπορούν να χρησιμοποιηθούν για να σπάσουν κωδικούς πρόσβασης με απεριόριστο μήκος. Το τρέχον μέγιστο μήκος για τα hashes της Microsoft LM είναι 14 χαρακτήρες και το μέγιστο είναι μέχρι 16 χαρακτήρες (βασισμένο σε λεξικό) για Windows Vista και 7 hashes. Τα τραπέζια ουράνιου τόξου είναι διαθέσιμα για αγορά και λήψη μέσω της τοποθεσίας ophcrack.
Υπάρχει ένας περιορισμός μήκους επειδή παίρνει σημαντικό χρόνο για να δημιουργήσει αυτούς τους πίνακες ουράνιου τόξου. Δεδομένου ότι υπάρχει αρκετός χρόνος, θα δημιουργηθεί επαρκής αριθμός τραπεζιών. Φυσικά, μέχρι τότε, οι υπολογιστές και οι εφαρμογές ενδέχεται να έχουν διαφορετικούς μηχανισμούς επαλήθευσης ταυτότητας και πρότυπα κατακερματισμού - συμπεριλαμβανομένου ενός νέου συνόλου ευπαθειών - για να αντιμετωπίσουν. Η ασφάλεια της εργασίας για ηθική hacking δεν παύει ποτέ να αυξάνεται.
Αν έχετε ένα καλό σύνολο τραπέζια ουράνιου τόξου, όπως αυτά που προσφέρονται μέσω της ιστοσελίδας και του Project RainbowCrack, μπορείτε να σπάσετε τους κωδικούς πρόσβασης σε δευτερόλεπτα, λεπτά ή ώρες σε σχέση με τις ημέρες, τις εβδομάδες ή ακόμα και τα χρόνια που απαιτούνται από το λεξικό και το brute -συναλλακτικές μεθόδους.
