Aja ngucapake jeneng sing apik banget karo kowe, iki pancen angel banget.
Nalika sampeyan uga mikir babagan Rainbow Tables minangka mebel warna kanthi warna ékliti, sing ora ana sing bakal kita bahas. Tabel Rainbow sing kita gunakake digunakake kanggo ngeculake tembung sandhi lan alat liya ing gaman hacker sing terus berkembang.
Apa sing ana Rainbow Tables? Carane bisa kaya jeneng sing apik banget lan cuddly dadi mbebayani?
Konsep Dasar Di Balik Tabel Pelangi
Aku wong ala sing mung nyithak jempol jempol menyang server utawa pangkalan, reboot, lan mlayu program sing nyetak file basis data keamanan sing ngemot jeneng lan tembung sandi kanggo drive jempol.
Sandi ing file kasebut dienkripsi supaya aku ora bisa maca. Aku kudu ngeculake sandhi ing file (utawa paling ora sandhi administrator) supaya aku bisa nggunakake aplikasi kasebut kanggo ngakses sistem.
Apa opsi kanggo cracking sandhi? Aku bisa nyoba lan nggunakake program crack tembung sandi kasar kayata John the Ripper, kang sithik-sithik ing file sandhi, nyoba ngira-ngira saben kombinasi kombinasi tembung sandhi. Opsi kapindho yaiku kanggo ngemot kamus cracking tembung sing ateges atusan ewu tembung sandhi sing umum dianggo lan ndeleng manawa ana hits. Cara iki bisa njupuk minggu, sasi, utawa taun manawa sandhi kasebut cukup kuwat.
Nalika tembung sandi "nyoba" marang sistem kasebut "wished" nggunakake enkripsi supaya tembung sandhi asli ora dikirim ing teks sing cetha antarane garis komunikasi. Iki ngalang-ngilangake eavesdroppers saka nyegat password. Aspek tembung sandhi biasane katon kaya klompok uwuh lan biasane dawa beda saka tembung sandhi asli. Tembung sandi sampeyan bisa uga "shitzu" nanging hash tembung sandhi bakal katon kaya "7378347eedbfdd76919454549225ec1".
Kanggo verifikasi pangguna, sistem njupuk nilai hash sing digawe dening fungsi hashing ing komputer klien lan mbandhingake menyang nilai hash sing disimpen ing meja ing server. Yen hash cocog, banjur pangguna didegaké lan diwenehake akses.
Hashing sandhi minangka fungsi 1-wayah, tegese sampeyan ora bisa nyah dekup hash kanggo ndeleng apa sing cetha saka tembung sandhi. Ora ana kunci ngumumake hash kasebut nalika digawe. Ora ana "dering decoder" yen sampeyan bakal.
Program cracking tembung sandhi bisa digunakake kanthi cara sing padha kanggo proses mlebu. Program retak diwiwiti kanthi njupuk sandhi plaintext, mlaku liwat algoritma hash, kayata MD5, lan mbandhingake hash output kanthi hash ing file tembung sing dicolong. Yen ketemu match banjur program wis cracked sandi. Minangka kita ngomong sadurunge, proses iki bisa njupuk wektu sing suwe banget.
Ketik Tabung Pelangi
Tabel Rainbow biasane akeh banget tabel tabel sing wis diprakirakake kanthi nilai-nilai hash sing wis dicocogake kanthi nggunakake tembung kunci plainteks. Tabel Rainbow pancen ngidini para peretas nguripake fungsi hashing kanggo nemtokake apa tembung sandhi plaintext. Sampeyan bisa nganggo rong tembung sandhi sing beda-beda kanggo ngasilake hash sing padha supaya ora penting kanggo ngerteni apa tembung sandhi sing asli, mung anggone duwe hash sing padha. Sandi plaintext ora bisa dadi tembung sandhi sing digawe dening pangguna, nanging anggere wis dicocogake, mula ora ketompo.
Penggunaan Rainbow Tables ngidini supaya tembung sithik bisa dikendhaleni kanthi cara sing sithik banget dibandhingake karo metode brute-force, ananging trade-off iku butuh panyimpenan (kadhangkala Terabytes) kanggo nahan Rainbow Tables piyambak, Panyimpenan dina iki akeh banget lan mirah supaya perdagangan kasebut ora dadi masalah gedhe nalika dasawarsa kepungkur yen drive terabyte ora ana sing bisa dituku ing Best Buy lokal.
Para hacker bisa tuku Rainbow Tables kanggo cracking sandhi sistem operasi rawan kayata Windows XP, Vista, Windows 7, lan aplikasi sing nggunakake MD5 lan SHA1 minangka mekanisme hashing sing wis kasebut (akeh pangembang aplikasi web isih nganggo algoritma hashing).
Carane Nglindhungi Dhelikake Serangan Password-Based Rainbow Tables
Kita pengin ana saran sing luwih apik babagan iki kanggo kabeh wong. Kula badhe nyariosaken bilih tembung sandi ingkang langkung kiyat mbiyantu, nanging iki ora bener amarga ora kelemahan tembung sandhi sing masalah, iku kelemahan sing ana hubungane karo fungsi hashing sing digunakake kanggo ndhelik sandi.
Saran paling apik sing bisa menehi pangguna yaiku tetep adoh saka aplikasi web sing matesi dawa kata sandhi menyang nomer cendhak. Iki minangka tandha cetha rutin otentikasi sandi lawas sekolah sing rentan. Dawa kata sandi sing diperluas lan kerumitan bisa mbiyantu, nanging ora minangka proteksi sing dijamin. Luwih sithik sampeyan, luwih gedhe Tabel Rainbow bakal kudu kokpitake, nanging sawijining peretas kanthi akeh sumber daya tetep bisa ngrampungake.
Saran kita babagan carane mbela nglawan Rainbow Tables pancene ditrapake kanggo pangembang aplikasi lan pangurus sistem. Padha ana ing garis ngarep nalika nerangake nglindhungi pangguna marang jinis serangan iki.
Kene sawetara tips pangembang kanggo mbela serangan Rainbow Table:
- Aja nggunakake MD5 utawa SHA1 ing fungsi hashing tembung sandhi. MD5 lan SHA1 minangka algoritma hashing sing wis kedaluwarsa lan tabel-tabel pelangi sing paling kerep digunakake kanggo ngeculake tembung kunci sing dibangun kanggo aplikasi lan sistem target nggunakake metode hashing iki. Coba gunakake metode hashing sing luwih modern kaya SHA2.
- Gunakake kriptografi "Salt" ing tembung sandi hashing. Nambahake Cryptographic Salt kanggo fungsi hashing sampeyan bakal mbantu nglawan nggunakake Rainbow Tables digunakake kanggo ngeculake tembung sandhi ing aplikasi sampeyan. Kanggo ndeleng sawetara conto kodhe carane nggunakake uyah cryptographic kanggo mbantu "Rainbow-Proof" aplikasi sampeyan mangga mirsani situs WebMasters By Design sing nduweni artikel gedhe ing topik.
Yen sampeyan pengin ndeleng carane para peretas nindakake serangan sandhi nggunakake Rainbow Tables, sampeyan bisa maca artikel kasebut babagan cara migunakake teknik kasebut kanggo ngrungokake tembung sandhi.