security शब्दकोश हमलों के खिलाफ धोया और नमकीन पासवर्ड सुरक्षित हैं?




authentication hash (4)

मैं समझता हूं कि लवण समान पासवर्ड हैश को अलग-अलग मूल्यों के लिए बनाते हैं। हालांकि, नमक आमतौर पर पासवर्ड के साथ डेटाबेस में संग्रहीत होते हैं। तो हम कहते हैं कि मैं हमलावर हूं, यहां बताया गया है कि कैसे मैं एक नमक के खिलाफ एक शब्दकोश हमले का उपयोग कर सकता हूं (इस उदाहरण में ध्यान दें मैं संक्षेप के लिए 128 बिट हैश या लवण नहीं लिखता):

user_pw = 'blowfish'

Given:
email = '[email protected]'
hash = '1234567890'
salt = '0987654321'

function attack(){
  for each(word in dictionary)
    md5( word * salt ) == hash ? cracked_one(email, word)
}

मैं समझता हूं कि हेकर्स इंद्रधनुष टेबल का उपयोग करने से रोकता है ... लेकिन शब्दकोश हमलों को रोकने के लिए नहीं लगता है। मुझे लगता है कि आप हैश एल्गोरिथ्म के लिए कुछ और जोड़ सकते हैं, लेकिन सुरक्षा के साथ हमें यह मानना ​​चाहिए कि हमले की विधि ज्ञात है।

तो ऐसा लगता है कि नमकीन बनाना हेकरों को यह पता लगाने से रोकता है कि कौन से पासवर्ड शब्दकोश पासवर्ड (जो कि कई उपयोगकर्ता हैं) होने की संभावना है और इंद्रधनुष के हमलों को रोकता है ... लेकिन शब्दकोश हमलों को रोकता नहीं है

क्या यह सही विश्लेषण है? बेहतर सुरक्षा के लिए कोई सुझाव?

धन्यवाद!


नमक शब्दकोश हमलों को रोकता नहीं है, केवल सटीक शब्दकोश हमलों विशेष रूप से, यह इंद्रधनुष तालिकाओं ( http://en.wikipedia.org/wiki/Rainbow_table ) के खिलाफ की रक्षा करता है और यह भी सुनिश्चित करता है कि एक उपयोगकर्ता के पासवर्ड को क्रैकिंग करने से आप किसी ऐसे उपयोगकर्ता को क्रैक नहीं कर सकते, जो उस पासवर्ड को साझा करते हैं।

इस आलेख को मैंने नमक पर सुधार करने के लिए कुछ तरीकों का उल्लेख करने के लिए लिंक किया है, महत्वपूर्ण मजबूत बनाने ( http://en.wikipedia.org/wiki/Key_strengthening )


यह सही है। अगर किसी को पासवर्ड सामग्री मिलती है, तो एक शब्दकोश आक्रमण प्रभावी होगा।

इस से रक्षा करने के लिए:

  • सुनिश्चित करें कि आपके पासवर्ड शब्दकोश हमलों के अधीन नहीं हैं।
  • सुनिश्चित करें कि आपका पासवर्ड फ़ाइल ( /etc/shadow ) केवल रूट के द्वारा पठनीय है।

कुछ भी नहीं सिर्फ एक पासवर्ड अनुमान लगाने से हमलावर रखता है।

साल्ट्स केवल एक प्रति-उपयोगकर्ता (प्रभावी, प्रति-नमक) आधार पर शब्दकोश को हैश करने के लिए हमलावर को मजबूती से कठिन बनाते हैं।

सुरक्षा में सुधार करने के लिए, एक ट्यून करने योग्य हैश फ़ंक्शन आपकी सर्वोत्तम शर्त है समय-प्रति-हैश को क्रैंक करें, आपके हमलावर के जो भी हार्डवेयर उपलब्ध होने की संभावना है, उस पर डरावना हमलों को अव्यावहारिक बना दें

असल में, इसे पढ़ें


आपका तर्क ध्वनि है, लेकिन वास्तव में, पर्याप्त कंप्यूटिंग शक्ति और समय के साथ, शब्दकोश / जानवर-बल के हमलों के खिलाफ कोई सुरक्षा नहीं है।







salt