Ùn lasciate micca u so nomu bonu dissi, sò sti cosi.
Mentre puderebbite pensate di e Meseta di l'Arco-Arco com'è mudllo ecletticu di colore, l'ùn sò micca quelli chì avemu da discutiri. I Cappelli Rainbow chì parleranu sò usatu per crack e password è sò una altra strumenta in l'arsenale sempri criscante di u pirate .
Ciò chì sò e tanti sò e Tabelli di Rainbow? Cumu si puderà quarchi cosa cun un nome simplice è cuddly be so prejudiciu?
U basicu elementu attraversu i Tempuli d'Arco Frio
Sò un omu bruttu chì hà intruduttu un impiccariu in un servitore o stazzione di u postu, hà cuncessitatu novu, è hà cuminciatu un prugrammu chì copie u schedariu di basa di basa di salvezza chì cuntene i nomi di utilizatori è i password à u mio pulgaru.
I password in u schedariu sò cifrati per ùn avè micca leghje. Tandu deve fà cracke u password in u schedariu (o almenu u password di l'amministratore) per quandu puderà aduprà per accede à u sistema.
Chì ci sò l'opzioni per cracking passwords? Puderaghju pruvà cù un prugramma di cracking password di u password brute , cum'è John the Ripper, chì libera fora à u schedariu di password, pruvatu à ricordu utteneru ogni pussibile possibbili d'una password. A seconda opzione hè di cumpagnie un password di crackingu di password chì cuntene centenario di migliurità di passwords communmente utilizati è vede s'ellu hà alcuni eventu. Queste metu pò piglià settei, mesi, o ancu anni si i password sunnu forti boni.
Quandu una password hè "pruvata" contru un sistema hè "chjusu" cù cifru per chì a password verita ùn hè maiuta mandata in testu chjaru in a linea di cumunicazione. Quista impedisce e spedizione da intercepe a password. U preghjudiziu di una password sò generalmente in parechje di basura è hè tipica una larga diffarenti da a password uriginale. A vostra password puderà esse "shitzu" ma l'appaghatu di a vostra password si senti cusì "7378347eedbfdd761619451949225ec1".
Per verificà un utilizatore, un sistema adopà u valore hash fattu da a funzione di u password in a cumpagnie clientale è a compara cù u valore hash guardatu in una tavola nantu à u servitore. Se l'apparechjavvi cunnessu, l'usu hè autenticu è accede l'accessu.
Hashing una password hè una funzione 1-way, chì significheghju ùn pò micca scriveleghjanu l'aria per vede ciò chì u testu chjaru di a password hè. Ùn ci hè micca chjaru per scambià a crescita quandu hè creatu. Ùn ci hè micca un "ring decoder" s'ellu vulete.
I software di cracking password di u travagliu in un modu simili à u prucessu di login. U prugramma di cracking cumencia cù i password passate in chjaru, a ghjuculaghju per un algoritmo di hash, cum'è MD5, è palesa a prughjittazione di prughjettu cù l'appressu in u schedariu arratu di password. Se trova un match, u prugramma hà parechje u password. Comu dissi prima, stu prucessu pò piglià un pezzu assai longu.
Intrudui i Muri Rainbow
I Cappelli Rainbow sò funzionu enormi setti di i tavolini predefiniti cumminciuti da i valori hash chì sò pre-match up to possible passwords in plain text. I Cappelli Rainbow Essentially permettenu à i pirate di fà invià a funzione di prurenza per determinar quale hè a password. Hè pussibule per dui password in u risultatu in u stessu hash, per quessa, ùn hè impurtante scopre da quella era a password primitiva, finu à ch'ella hà u stessu hash. A password di u testu in chjucu ùn pò mancu esse a stessa password chì hè creata da l'utilizatore, ma mentre u tennu hè sparu, ùn importa micca quale era u password uriginale.
L'usu di i Muri Rainbow permettenu i password chì sò rutti in una cantu curretta di tempu in pumparate cù mette prudutti di forza, in ogni casu, u scontru hè chì si pò piglia assai spaziu (à volte volte Terabytes) di mantene e Mistule di Arco-Arco, A maghjina di sti ghjorni hè dispunibule è rita quessa, perchè stu scambiu ùn hè micca quantunque un bigliè chì era una settanta anni fa quandu l'impresa di terabyte ùn eranu micca qualcosa chì puderete piglià à u Cumprestu Best Buy.
Hackers puderanu cumprà i tempii di l'arcobalini precomputed per cracking passwords di i sistemi operatore vulnerabuli, cumu Windows XP, Vista, Windows 7, è l'appruvisazioni usendu MD5 è SHA1 com'è u so contrucessu di password (many web developer d'utilità stilla utilizate l'algoritmi d'aghjone).
Cumu prutegevi di l'attaccu contru à i Contrabbate Contra l'Arco Rainbow
Vulendu chì ci era un cunsigliu più bellu cunsigliu per quellu di tutti. Vulissimu dittu chì un password più forte esse aiutà, ma questu hè micca veru, postu chì ùn hè micca a debule di a password questa hè u prublema, hè a debule in a funzione di a prurenza usendu per cifrà una password.
U megliu cunsigliu chì pudemu dà l'utilizatori hè di mantene in l'appiecazione web chì restrigenanu a vostra longa di password in un corpu numeru di caratteri. Questu hè un signu chjaru di i rutini di autentificazione cù a password di vultu vulnerable. A longuità di u contrasale prolongate è a cumplicità pò aiutà un pocu, ma ùn hè micca una forma garantita di prutezzione. Perchè a vostra dumanda hè più grande u Tarvelli Rainbow avissi da esse chjappà, ma un furasteru cù assai risorse pò ancu esse cumpiutu.
I nostri cunsiglii nantu à a difesa di u Tarranci di Rainbow hè definitu per i sviluppatori è di l'amministratori di sistema. Sò in i linii di u primu rigalu di a prutezzione di l'utilizatori contru stu tipu d'attaccu.
Eccu alcuni cunsiglii di u cuncorsu in difendanti contra l'attaccu di Rainbow Table:
- Ùn aduprate MD5 o SHA1 in a vostra chjachadera di password. MD5 è SHA1 sò l'algoritmi di password di i password è a magia di l'arcudi altri chjappiutu i password sò custruiti per appricazzioni destinati è sistemi chì utilizanu sti mètodi d'affine. Cunsiderate l'usu di metudi modernizà muderni like SHA2.
- Aduprà un "Salt" criptogogicu in a vostra password in a rutina hashing. Aghjunghjendu una Sal criptografica à a vostra funziona di password di aiutu serà aiutu à difende à l'utilizazione di e Tableau Rainbow utilizatu per fretce i password in a vostra appurtà. Per vede parechji esempii di codificazione di cumu utilizà una sal criptografica per aiutà "Rainbow-Proof" a vostra dumanda scegliendu u situ WebMasters By Design chì hà un grand article nantu à u tema.
Se vulete vedà cusì chì i pirate piacenu un aiutu di password cù e Mezzale di Arco-Arco, pudete leghje stu articulu excelente nantu à cumu utilizà sti tecniche per rinvià i vostri password.