Usiruhusu jina lao mzuri liwe mjinga kwako, mambo haya yanatisha.
Wakati unaweza kufikiri juu ya Majedwali ya Upinde wa Rainbow kama samani za rangi za rangi, wale sio tu tutakazojadili. Majedwali ya Upinde wa Rainbow tunayozungumzia hutumiwa kupoteza nywila na bado ni chombo kingine katika silaha ya kukuza milele.
Je, heck ni Taa za Rainbow? Je! Kitu fulani kilicho na jina la aina nzuri na la kiburi kinaweza kuumiza?
Dhana ya Msingi Nyuma ya Majedwali ya Rainbow
Mimi ni mtu mbaya ambaye amechukua tu gari la kidole kwenye seva au kituo cha kazi, akaifungua upya, na kukimbia programu ambayo nakala nakala ya database ya usalama iliyo na majina ya watumiaji na nywila kwenye gari langu la kidole.
Nywila katika faili ni encrypted hivyo siwezi kusoma. Nitalazirisha nywila katika faili (au angalau nenosiri la msimamizi) ili nipate kutumia matumizi ya mfumo.
Je! Ni chaguo gani kwa nywila za kupoteza? Nitaweza kujaribu na kutumia programu ya kupambana na nenosiri ya kivuli-nguvu kama vile John Ripper, ambayo huliondoa kwenye failisiri ya nenosiri, akijaribu kufikiria iterative kila neno linalowezekana la nenosiri. Chaguo la pili ni kupakia kamusi ya siri ya nenosiri iliyo na mamia ya maelfu ya nywila za kawaida kutumika na kuona ikiwa inapata hits yoyote. Njia hizi zinaweza kuchukua wiki, miezi, au hata miaka ikiwa nywila zina nguvu.
Wakati nenosiri lipo "jaribiwa" dhidi ya mfumo "imepoteza" kwa kutumia encryption ili nenosiri halisi lisitumiwe katika maandishi wazi kwenye mstari wa mawasiliano. Hii inazuia wavesdroppers kutoka kuingilia nenosiri. Hashi ya nenosiri mara nyingi inaonekana kama kundi la takataka na ni kawaida urefu tofauti kuliko nenosiri la awali. Nywila yako inaweza kuwa "shitzu" lakini hashi ya nenosiri lako ingeonekana kama "7378347eedbfdd761619451949225ec1".
Ili kuthibitisha mtumiaji, mfumo unachukua thamani ya hashi iliyoundwa na kazi ya nenosiri ya nywila kwenye kompyuta ya mteja na ikilinganishwa na thamani ya hazina iliyohifadhiwa kwenye meza kwenye seva. Ikiwa harufu inafanana, basi mtumiaji anahakikishiwa na anapewa upatikanaji.
Hashing nenosiri ni kazi ya 1-njia, maana kwamba huwezi kufuta hiti ili kuona ni nini neno la wazi la nenosiri ni. Hakuna ufunguo wa kufuta hashi mara tu imeundwa. Hakuna "pete ya decoder" ikiwa ungependa.
Programu za kufuta nenosiri zinafanya kazi sawa na mchakato wa kuingia. Programu ya kupoteza huanza kwa kuchukua nywila za siri, kuziendesha kwa njia ya algorithm ya hashi, kama vile MD5, na kisha kulinganisha pato la hash na hashi kwenye faili ya nenosiri lililoibiwa. Ikiwa hupata mechi basi mpango umevunja nenosiri. Kama tulivyosema hapo awali, mchakato huu unaweza kuchukua muda mrefu sana.
Ingiza Majedwali ya Upinde wa Rainbow
Majedwali ya Upinde wa mvua ni seti kubwa za meza za awali zilizojazwa na maadili ya hashi ambayo yamefananishwa na nywila za kutosha. Majedwali ya Upinde wa Rainbow kimsingi inaruhusu wahasibu kurejesha kazi ya hashing ili kuamua nini nenosiri lililokuwa linaweza kuwa. Inawezekana kwa nywila mbili tofauti ili kusababisha hash sawa hivyo sio muhimu kujua nini nenosiri la awali lilikuwa, kwa muda mrefu tu kama ina hash sawa. Neno la siri linaweza hata kuwa nenosiri sawa ambalo liliundwa na mtumiaji, lakini kwa muda mrefu kama hashi inafanana, basi haijalishi nenosiri la asili.
Matumizi ya Majedwali ya Upinde wa Rainbow inaruhusu nywila kupunguzwa kwa kiasi cha muda mfupi sana ikilinganishwa na mbinu za nguvu za kijinga, hata hivyo, biashara hiyo ni kwamba inachukua kuhifadhi nyingi (wakati mwingine Terabytes) kushikilia Majedwali ya Rainbow wenyewe, Uhifadhi siku hizi ni nyingi na bei nafuu ili biashara hii sio mpango mkubwa kama ilivyokuwa miaka kumi iliyopita wakati gari la terabyte halikuwa kitu ambacho unaweza kuchukua kwenye Best Buy ya ndani.
Wanaharakati wanaweza kununua Tables Rainbow precomputed kwa kupotea nywila ya mazingira magumu ya uendeshaji kama vile Windows XP, Vista, Windows 7, na maombi kutumia MD5 na SHA1 kama password yao hashing utaratibu (wengi wa programu ya waendelezaji maombi bado kutumia hizi algorithms hashing).
Jinsi ya kujikinga dhidi ya Upinde wa mvua za Majedwali
Tunataka kuna ushauri bora zaidi kwa hili kwa kila mtu. Tungependa kusema kwamba password yenye nguvu ingeweza kusaidia, lakini hii sio kweli kwa sababu sio udhaifu wa nenosiri ambalo ni tatizo, ni udhaifu unaohusishwa na kazi ya kufuta inayotumiwa kuficha nenosiri.
Ushauri bora tunaoweza kuwapa watumiaji ni kukaa mbali na programu za mtandao ambazo zinazuia urefu wa nenosiri lako kwa idadi ndogo ya wahusika. Hii ni ishara ya wazi ya utaratibu wa uhakikishaji wa nenosiri la zamani la shule. Urefu wa nenosiri na utata huweza kupunguzwa kidogo, lakini si fomu ya ulinzi. Kwa muda mrefu nenosiri lako ni, Tables kubwa za Upinde wa Rainbow ingekuwa lazima ziifanye, lakini hacker na rasilimali nyingi bado anaweza kukamilisha hili.
Ushauri wetu juu ya jinsi ya kutetea dhidi ya Tables Rainbow ni kweli maana kwa watengenezaji wa maombi na watendaji wa mfumo. Wao ni juu ya mistari ya mbele linapokuja kulinda watumiaji dhidi ya aina hii ya mashambulizi.
Hapa kuna baadhi ya vidokezo vya msanidi programu ya kutetea dhidi ya mashambulizi ya Jedwali la Rainbow:
- Usitumie MD5 au SHA1 katika kazi ya nenosiri la nenosiri. MD5 na SHA1 ni mipangilio ya nenosiri ya nenosiri isiyo na muda na meza nyingi za upinde wa mvua zinazotumiwa kufuta nywila zinajengwa kwa lengo la matumizi na mifumo kwa kutumia njia hizi. Fikiria kutumia mbinu za kisasa za kisasa kama SHA2.
- Tumia "Chumvi" ya kielelezo katika nenosiri la siri yako. Kuongeza Chumvi ya kielelezo kwenye nenosiri lako la nenosiri linasaidia kulinda dhidi ya matumizi ya Majedwali ya Rainbow kutumika kwa ufafsiri nywila katika maombi yako. Kuona mifano ya coding ya jinsi ya kutumia chumvi ya kielelezo ili kusaidia "Upinde wa mvua-Ushahidi" maombi yako tafadhali angalia tovuti ya WebMasters By Design ambayo ina makala nzuri juu ya mada.
Ikiwa unataka kuona jinsi wachuuzi wanavyofanya mashambulizi ya nenosiri kwa kutumia Majedwali ya Upinde wa mvua, unaweza kusoma makala hii nzuri kuhusu jinsi ya kutumia mbinu hizi ili upate nywila zako.