লবণগুলি অভিধানের আক্রমণকে 'অসম্ভব' করে তোলে কেন?

Question 1

আপডেট: দয়া করে নোট করুন আমি লবণ কী তা জিজ্ঞাসা করছি না, রংধনু টেবিল কী, অভিধানের আক্রমণ কী, বা লবণের উদ্দেশ্য কী। আমি জিজ্ঞাসা করছি: আপনি যদি লবণ এবং হ্যাশ ব্যবহারকারীদের জানেন তবে তাদের পাসওয়ার্ড গণনা করা কি খুব সহজ নয়?

আমি প্রক্রিয়াটি বুঝতে পারি এবং এটি আমার কয়েকটি প্রকল্পে নিজেই প্রয়োগ করি।

s =  random salt
storedPassword = sha1(password + s)

আপনি যে ডাটাবেসটিতে সঞ্চয় করেন:

username | hashed_password | salt

আমি দেখেছি লবণের প্রতিটি প্রয়োগ পাসওয়ার্ডের শেষে বা শুরুতে লবণ যুক্ত করে:

hashed_Password = sha1(s + password )
hashed_Password = sha1(password + s)

থেরফর, হ্যাকারের একটি অভিধান আক্রমণ যার পক্ষে তার লবণের পরিমাণ (হেক্টর) হ'ল উপরের তালিকাভুক্ত সাধারণ সংমিশ্রণে সঞ্চিত লবণের বিপরীতে প্রতিটি কীওয়ার্ড চালানো যেতে পারে।

অবশ্যই উপরে বর্ণিত বাস্তবায়ন হ্যাকারের জন্য কেবল অন্তর্নিহিত সমস্যাটি সমাধান না করে কেবল আরও একটি পদক্ষেপ যুক্ত করে? এই সমস্যাটি সম্পর্কে পদক্ষেপ নেওয়ার বিকল্পগুলি কী কী আছে, বা আমি সমস্যার ভুল বোঝাবুঝি করছি?

কেবলমাত্র আমি যা করতে পারি তা হ'ল একটি গোপন সংমিশ্রণ অ্যালগরিদম রয়েছে যা ল্যান্ড এবং পাসওয়ার্ডকে একটি এলোমেলো প্যাটার্নে একসাথে রাখে বা হ্যাশিং প্রক্রিয়াতে অন্যান্য ব্যবহারকারীর ক্ষেত্র যুক্ত করে যার অর্থ হ্যাকারকে লেইসের জন্য ডেটাবেস এবং কোডে অ্যাক্সেস থাকতে হবে তাদের একটি অভিধান আক্রমণাত্মক প্রমাণ করার জন্য আক্রমণ। (আপডেট, মন্তব্যগুলিতে নির্দেশিত হিসাবে হ্যাকারের আপনার সমস্ত তথ্য অ্যাক্সেস রয়েছে বলে ধরে নেওয়া ভাল তবে এটি সম্ভবত সেরা নয়) Update

আমি কীভাবে একটি হ্যাকার প্রস্তাব দিচ্ছি যে পাসওয়ার্ড এবং হ্যাশগুলির একটি তালিকা সহ একটি ব্যবহারকারী ডেটাবেস হ্যাক করবে তার একটি উদাহরণ দেই:

আমাদের হ্যাকড ডাটাবেস থেকে ডেটা:

RawPassword (not stored)  |  Hashed   |     Salt
--------------------------------------------------------
letmein                       WEFLS...       WEFOJFOFO...

সাধারণ পাসওয়ার্ড অভিধান:

   Common Password
   --------------
   letmein
   12345
   ...

প্রতিটি ব্যবহারকারীর রেকর্ডের জন্য, সাধারণ পাসওয়ার্ডগুলি লুপ করুন এবং তাদের হ্যাশ করুন:

for each user in hacked_DB

    salt = users_salt
    hashed_pw = users_hashed_password

    for each common_password

        testhash = sha1(common_password + salt)
        if testhash = hashed_pw then
           //Match!  Users password = common_password
           //Lets visit the webpage and login now.
        end if

    next

next

আমি আশা করি এটি আমার পয়েন্টটি আরও ভালভাবে চিত্রিত করে।

10,000 টি সাধারণ পাসওয়ার্ড এবং 10,000 টি ব্যবহারকারী রেকর্ড দেওয়া, আমাদের যতটা সম্ভব ব্যবহারকারীর পাসওয়ার্ড আবিষ্কার করতে 100,000,000 হ্যাশ গণনা করতে হবে। এটি কয়েক ঘন্টা সময় নিতে পারে, কিন্তু এটি আসলে কোনও সমস্যা নয়।

ক্র্যাকিং থিওরিতে আপডেট

আমরা ধরে নেব যে আমরা একটি দুর্নীতিগ্রস্থ ওয়েব হোস্ট, এতে আপনার মিশ্রণের জন্য আপনার অ্যালগরিদমের পাশাপাশি SHA1 হ্যাশ এবং লবণের ডেটাবেজে অ্যাক্সেস রয়েছে। ডাটাবেসের 10,000 টি ব্যবহারকারীর রেকর্ড রয়েছে।

এই সাইটটি জিপিইউ ব্যবহার করে প্রতি সেকেন্ডে 2,300,000,000 SHA1 হ্যাশ গণনা করতে সক্ষম হবে বলে দাবি করেছে। (বাস্তব বিশ্বের পরিস্থিতি সম্ভবত ধীর হবে, তবে আপাতত আমরা সেই উদ্ধৃত চিত্রটি ব্যবহার করব)।

((95 ^ 4) / 2300000000) / 2) * 10000 = 177 সেকেন্ড

১০০ মুদ্রণযোগ্য এএসসিআইআই অক্ষরের পূর্ণ পরিসর দেওয়া হয়েছে, সর্বোচ্চ ৪ টি অক্ষরের দৈর্ঘ্য সহ গণনার হার (ভেরিয়েবল) দ্বারা বিভক্ত, ১০ দ্বারা বিভক্ত (পাসওয়ার্ড আবিষ্কারের জন্য গড় সময় ধরে নেওয়া হবে গড়ে 10,000% অনুমানের প্রয়োজন হবে) 10,000 দৈর্ঘ্য <= 4 যেখানে রয়েছে তাদের ব্যবহারকারীর পাসওয়ার্ডগুলি ব্যবহার করতে 177 সেকেন্ড সময় লাগবে

আসুন বাস্তবতার জন্য এটি কিছুটা সামঞ্জস্য করি।

((36 36 ^ 7) / 1000000000) / 2) * 10000 = 2 দিন

একটি পাসওয়ার্ডের দৈর্ঘ্য <= 7, কেবলমাত্র আলফানিউমেরিক অক্ষর সহ, নন কেস সংবেদনশীলতা ধরে নিলে 10,000 ব্যবহারকারী রেকর্ডের সমাধান করতে 4 দিন সময় লাগবে এবং আমি ওভারহেড এবং অ-আদর্শ পরিস্থিতিতে প্রতিফলিত করতে অ্যালগরিদমের গতি অর্ধেক করে রেখেছি।

এটি স্বীকৃতি দেওয়া জরুরী যে এটি একটি লিনিয়ার ব্রুট ফোর্স আক্রমণ, সমস্ত গণনা একে অপরের থেকে স্বতন্ত্র, সুতরাং একাধিক সিস্টেমের সমাধান করার পক্ষে এটি সঠিক কাজ। (IE সহজেই 2 টি কম্পিউটার চালানো আক্রমণ চালাতে পারে যা বিভিন্ন প্রান্ত থেকে আক্রমণের সময়কে অর্ধেক করে দেবে)।

এই কাজটি আরও গণনামূলকভাবে ব্যয়বহুল করার জন্য বার বার এক পাসওয়ার্ড বারবার হ্যাশ করার ক্ষেত্রে দেওয়া হয়েছে:

(((36 ^ 7) / 1 000 000 000) / 2) * 1000 সেকেন্ড = 10.8839117 ঘন্টা

এটি এক ব্যবহারকারীর জন্য উদ্ধৃত চিত্র থেকে অর্ধেকেরও কম গতিতে কার্যকরভাবে সর্বোচ্চ 7 টি আলফা-সংখ্যাযুক্ত অক্ষরের প্রতিনিধিত্ব করে ।

পুনরাবৃত্তভাবে 1000 বার হ্যাশ কার্যকরভাবে একটি কম্বল আক্রমণকে অবরুদ্ধ করে, তবে ব্যবহারকারীর ডেটাগুলিতে লক্ষ্যযুক্ত আক্রমণগুলি এখনও ঝুঁকিপূর্ণ।

Question 2

হ্যাঁ, আপনাকে sha1 (নুন | পাসওয়ার্ড) এর জন্য মাত্র 3 দিন প্রয়োজন। এজন্য ভাল পাসওয়ার্ড স্টোরেজ অ্যালগরিদমগুলি 1000-পুনরাবৃত্তির হ্যাশিং ব্যবহার করে: আপনার 8 বছর প্রয়োজন হবে।

Question 3

এটি অভিধান আক্রমণ থামায় না।

হ্যাশগুলি থেকে পাসওয়ার্ডগুলি কী কী তা নির্ধারণ করতে আপনার পাসওয়ার্ড ফাইলটির অনুলিপিটি একটি রেইনবো টেবিল ব্যবহার করা থেকে পরিচালনা করে এমনটি হ'ল এটি ।

শেষ পর্যন্ত, এটি নিষ্ঠুর-জোর করা যেতে পারে, যদিও। এই অংশটির উত্তরটি হ'ল আপনার ব্যবহারকারীদের অভিধানের শব্দগুলি পাসওয়ার্ড হিসাবে ব্যবহার করতে বাধ্য করা (উদাহরণস্বরূপ, কমপক্ষে একটি সংখ্যার বা বিশেষ অক্ষরের ন্যূনতম প্রয়োজনীয়তা)।

আপডেট :

আমার এটি আগে উল্লেখ করা উচিত ছিল, তবে কয়েকটি (সর্বাধিক?) পাসওয়ার্ড সিস্টেম প্রতিটি পাসওয়ার্ডের জন্য আলাদা লবণ ব্যবহার করে, সম্ভবত পাসওয়ার্ডের সাথেই সঞ্চিত থাকে। এটি একটি একক রেইনবো টেবিলকে অকেজো করে তোলে। UNIX ক্রিপ্ট গ্রন্থাগারটি এভাবেই কাজ করে এবং আধুনিক ইউনিক্স-এর মতো ওএস নতুন হ্যাশ অ্যালগরিদম সহ এই লাইব্রেরিটি প্রসারিত করেছে।

আমি এই বাস্তবতার জন্য জানি যে জিএনইউ ক্রিপ্টের নতুন সংস্করণগুলিতে SHA-256 এবং SHA-512 এর জন্য সমর্থন যুক্ত করা হয়েছিল।

Question 4

আরও সুনির্দিষ্টভাবে বলতে গেলে, অভিধানের আক্রমণ , অর্থাত্ একটি আক্রমণ যেখানে একটি বিস্তৃত তালিকার সমস্ত শব্দ ব্যবহার করার চেষ্টা করা হয়, "অসম্ভব" হয় না, তবে এটি ব্যবহারিক হয় : প্রতিটি বিট লবণের পরিমাণ স্টোরেজ এবং গণনার পরিমাণ দ্বিগুণ করে ।

এটি প্রাক-গণিত অভিধান আক্রমণ থেকে আলাদা যেমন রেনবো টেবিলের সাথে জড়িত আক্রমণগুলি যেখানে লবণটি গোপনীয় কিনা তা বিবেচনা করে না।

উদাহরণ: একটি 64-বিট লবণ (অর্থাত্ 8 বাইট) দিয়ে আপনার অভিধানটি আক্রমণে আপনার 2 ⁶⁴ অতিরিক্ত পাসওয়ার্ড সংমিশ্রণ পরীক্ষা করতে হবে । 200,000 শব্দযুক্ত একটি অভিধানের সাহায্যে আপনাকে করতে হবে

200,000 * 2 ⁶⁴ = 3.69 * 10 ²⁴

সবচেয়ে খারাপ ক্ষেত্রে পরীক্ষা - 200,000 টেস্টের পরিবর্তে লবণ ছাড়া।

লবণের ব্যবহারের অতিরিক্ত সুবিধা হ'ল আক্রমণকারী তার অভিধান থেকে পাসওয়ার্ডের হ্যাশগুলি প্রাক-গণনা করতে পারবেন না। এটি কেবল খুব বেশি সময় এবং / অথবা স্থান নিতে পারে।

হালনাগাদ

আপনার আপডেটটি ধরে নিয়েছে যে কোনও আক্রমণকারী ইতিমধ্যে লবণ জানেন (বা এটি চুরি করেছে)। এটি অবশ্যই অন্যরকম পরিস্থিতি। তবুও আক্রমণকারীটির প্রাক-গণিত রেইনবো টেবিল ব্যবহার করা সম্ভব নয়। এখানে যে বিষয়টি খুব গুরুত্বপূর্ণ তা হ্যাশিং ফাংশনের গতি। আক্রমণকে অবৈধ করে তোলার জন্য, হ্যাশিংয়ের ক্রিয়াটি ধীর হওয়া দরকার। MD5 বা SHA এখানে ভাল প্রার্থী নয় কারণ তারা দ্রুত ডিজাইনের জন্য ডিজাইন করা হয়েছে, হ্যাশিং অ্যালগরিদমগুলির জন্য আরও ভাল প্রার্থীরা হলেন ব্লোফিশ বা এর কিছু প্রকরণ।

আপডেট 2

সাধারণভাবে আপনার পাসওয়ার্ডের হ্যাশগুলি সুরক্ষিত করার বিষয়ে একটি ভাল পঠন (মূল প্রশ্নের বাইরেও কিন্তু আকর্ষণীয়):

রেইনবো টেবিলগুলি যথেষ্ট: নিরাপদ পাসওয়ার্ড স্কিমগুলি সম্পর্কে আপনার কী জানতে হবে

প্রবন্ধের সম্পুরক: ব্যবহার সঙ্গে নির্মিত হ্যাশ লবণাক্ত bcrypt (পটকা মাছ উপর ভিত্তি করে) বা Eksblowfish আপনি ধীর হ্যাশ করতে একটি কনফিগারযোগ্য সেটআপ সময় ব্যবহার করতে পারবেন।

Question 5

একটি অভিধান একটি কাঠামো যেখানে মানগুলি কী দ্বারা সূচিযুক্ত হয়। প্রাক-গণিত অভিধানের আক্রমণের ক্ষেত্রে, প্রতিটি কী হ্যাশ হয় এবং সংশ্লিষ্ট মানটি হ্যাশের ফলাফল হিসাবে একটি পাসওয়ার্ড is হাতে প্রাক-গণিত অভিধানের সাথে, আক্রমণকারী একটি পাসওয়ার্ড "তাত্ক্ষণিকভাবে" দেখতে পারে যা লগ ইন করার জন্য প্রয়োজনীয় হ্যাশ তৈরি করে।

লবণের সাথে সাথে অভিধান সংরক্ষণ করার জন্য প্রয়োজনীয় স্থানটি দ্রুত বাড়তে থাকে ... এত দ্রুত, যে পাসওয়ার্ড অভিধানের প্রাক-গণনা করার চেষ্টা শীঘ্রই অর্থহীন হয়ে যায়।

সেরা সল্টগুলি এলোমেলোভাবে কোনও ক্রিপ্টোগ্রাফিক র্যান্ডম নম্বর জেনারেটর থেকে বেছে নেওয়া হয়। আট বাইট একটি ব্যবহারিক আকার এবং 16 বাইটের বেশি কোনও উদ্দেশ্য করে না।

"আক্রমণকারীর কাজকে আরও বিরক্তিকর করা" এর চেয়ে সল্ট আরও অনেক কিছু করে। এটি আক্রমণের সম্পূর্ণ শ্রেণি-প্রাক্পিউটিউটেড অভিধানের ব্যবহারকে সরিয়ে দেয়।

সম্পূর্ণরূপে পাসওয়ার্ডগুলি সুরক্ষিত করার জন্য আর একটি উপাদান প্রয়োজনীয়, এবং এটি হ'ল "কী-শক্তিশালীকরণ"। SHA-1 এর এক রাউন্ড যথেষ্ট ভাল নয়: একটি নিরাপদ পাসওয়ার্ড হ্যাশিং অ্যালগরিদম গণনাগতভাবে খুব ধীর হওয়া উচিত ।

অনেকে PBKDF2, একটি কী শিক্ষাদীক্ষা ফাংশন ব্যবহার ফিড হ্যাশ ফাংশন ফিরে যে ফলাফল হাজার হাজার সময়ের। "বিসিক্রিপ্ট" অ্যালগরিদম একই, একটি পুনরাবৃত্তি কী ডেরিভিশন যা ধীর using

যখন হ্যাশিং অপারেশনটি খুব ধীর গতির হয়, তখন একটি আক্রমণকারীকে একটি পূর্বনির্ধারিত টেবিল আরও বেশি আকাঙ্ক্ষিত হয়ে যায়। তবে সঠিক লবণ সেই পদ্ধতির কাছে পরাস্ত হয়।

লবণ ছাড়াই কোনও আক্রমণকারী "আপডেট 2" তে প্রদর্শিত পদ্ধতিটি ব্যবহার করবে না। তিনি কেবল প্রাক-গণিত সারণীতে একটি অনুসন্ধান করতে চান এবং ও (1) বা ও (লগ এন) সময় (এন পরীক্ষার্থীর পাসওয়ার্ডের সংখ্যা হওয়ায়) পাসওয়ার্ড পাবেন। লবণ যা এটিকে প্রতিরোধ করে এবং তাকে "আপডেট 2" এ দেখানো ও (এন) পদ্ধতির ব্যবহার করতে বাধ্য করে।

একবার ও (এন) আক্রমণে কমে গেলে, আমাদের প্রতিটি প্রচেষ্টা কতটা সময় নেয় তা বিবেচনা করতে হবে। কী-শক্তিশালীকরণের ফলে লুপের প্রতিটি প্রয়াস সম্পূর্ণ দ্বিতীয় হতে পারে, যার অর্থ 10 কে ব্যবহারকারীদের 10 কে পাসওয়ার্ড পরীক্ষা করার সময়টি 3 দিন থেকে 3 বছর পর্যন্ত প্রসারিত হতে পারে ... এবং কেবল 10 কে পাসওয়ার্ড সহ, আপনার শূন্য ক্র্যাক হওয়ার সম্ভাবনা রয়েছে এই সময়ে পাসওয়ার্ড

আপনাকে বিবেচনা করতে হবে যে কোনও আক্রমণকারী পিএইচপি নয়, দ্রুততম সরঞ্জামগুলি ব্যবহার করতে চলেছে, তাই 100-এর পরিবর্তে হাজার হাজার পুনরাবৃত্তি কী-শক্তিশালীকরণের জন্য একটি ভাল পরামিতি হবে। একক পাসওয়ার্ডের জন্য হ্যাশ গণনা করতে এটি একটি সেকেন্ডের বড় অংশ নিতে হবে।

কী-শক্তিশালীকরণ হ'ল পি কে সি এস # 5 থেকে স্ট্যান্ডার্ড কী ডেরিওয়েশন অ্যালগরিদমস পিবি কেডিএফ 1 এবং পিবি কেডিএফ 2 এর একটি অংশ যা দুর্দান্ত পাসওয়ার্ড অবলম্বন অ্যালগরিদমগুলি তৈরি করে ("উত্পন্ন কী" হ্যাশ ")।

স্ট্যাকওভারফ্লোতে প্রচুর ব্যবহারকারী এই নিবন্ধটি উল্লেখ করেছেন কারণ এটি রেইনবো টেবিলগুলির ঝুঁকি সম্পর্কে জেফ আতউডের পোস্টের প্রতিক্রিয়া ছিল। এটি আমার প্রিয় নিবন্ধ নয়, তবে এটি এই ধারণাগুলি আরও বিশদভাবে আলোচনা করে।

অবশ্যই আপনি ধরে নিন যে আক্রমণকারীর কাছে সমস্ত কিছুই রয়েছে: লবণ, হ্যাশ, ব্যবহারকারীর নাম। ধরুন আক্রমণকারী হ'ল একজন দুর্নীতিবাজ হোস্টিং সংস্থার কর্মচারী যিনি আপনার মাইরিটিপটিপোনি.কমের ফ্যান্সাইটে ব্যবহারকারীর টেবিলটি ফেলে দিয়েছেন। তিনি এই পাসওয়ার্ডগুলি পুনরুদ্ধার করার চেষ্টা করছেন কারণ তিনি ঘুরতে যাচ্ছেন এবং দেখুন যে আপনার পোনি ভক্তরা তাদের সিটি ব্যাংক ডটকম অ্যাকাউন্টে একই পাসওয়ার্ড ব্যবহার করেছেন কিনা।

একটি সু-নকশিত পাসওয়ার্ড স্কিমের সাহায্যে এই লোকটির পক্ষে কোনও পাসওয়ার্ড পুনরুদ্ধার করা অসম্ভব হবে ।

Question 6

সল্টিংয়ের বিষয়টি হ'ল আক্রমণকারীর প্রচেষ্টার মোড়কে রোধ করা।

কোনও লবণ ছাড়াই, প্রাক্পম্পিউটেড হ্যাশ-পাসওয়ার্ড এন্ট্রিগুলির একটি একক টেবিল (উদাহরণস্বরূপ, সমস্ত বর্ণমালা 5 অক্ষরের স্ট্রিংয়ের MD5, অনলাইনে সন্ধান করা সহজ) বিশ্বের প্রতিটি ডাটাবেসের প্রতিটি ব্যবহারকারীর জন্য ব্যবহার করা যেতে পারে।

সাইট-নির্দিষ্ট লবণের সাহায্যে আক্রমণকারীকে টেবিলটি নিজেই গণনা করতে হয় এবং তারপরে এটি সাইটের সকল ব্যবহারকারীর কাছে ব্যবহার করতে পারে।

প্রতি ব্যবহারকারী নুনের সাহায্যে আক্রমণকারীকে প্রতিটি ব্যবহারকারীর জন্য পৃথকভাবে এই প্রচেষ্টা ব্যয় করতে হবে।

অবশ্যই, এটি কোনও অভিধান থেকে সরাসরি দুর্বল পাসওয়ার্ডগুলিকে সুরক্ষিত করতে খুব বেশি কিছু করে না, তবে এটি এই orশ্বর্যকরণের বিরুদ্ধে যুক্তিসঙ্গত দৃ .় পাসওয়ার্ডগুলিকে সুরক্ষা দেয়।

Question 7

এছাড়াও - আরও একটি দুর্বল বিন্দু - একটি ব্যবহারকারী নির্দিষ্ট লবণ ব্যবহার করে একই পাসওয়ার্ড সহ দুটি ব্যবহারকারী সনাক্ত করতে বাধা দেয় - তাদের হ্যাশগুলি মিলবে match এজন্য অনেক সময় হ্যাশ হ্যাশ হয় (লবণের + ব্যবহারকারীর নাম + পাসওয়ার্ড)

আপনি চেষ্টা করে এবং হ্যাশ গোপন রাখলে আক্রমণকারীও হ্যাশগুলি যাচাই করতে পারে না।

সম্পাদনা- উপরের মন্তব্যে সবেমাত্র মূল পয়েন্টটি লক্ষ্য করা গেছে।

Question 8

রেইনবো টেবিলের আক্রমণ প্রতিরোধে লবণ প্রয়োগ করা হয়। একটি রেইনবো টেবিল প্রাক-গণনা করা হ্যাশগুলির একটি তালিকা, যা একটি হ্যাশকে এর বাক্যাংশে অনুবাদ করা আরও সহজ করে তোলে। আপনার বুঝতে হবে যে আমাদের কাছে একটি আধুনিক হ্যাশিং অ্যালগো না থাকলে পাসওয়ার্ড ক্র্যাক করার জন্য সল্টিং আধুনিক প্রতিরোধ হিসাবে কার্যকর নয়।

সুতরাং আসুন আমরা এই SHA1 এর সাথে কাজ করে এই অ্যালগো দিয়ে আবিষ্কৃত সাম্প্রতিক শোষণগুলির সুবিধা নিয়ে বলি এবং বলি যে আমাদের একটি কম্পিউটার চলছে 1,000,000 হ্যাশ / সেকেন্ডে, একটি সংঘর্ষ খুঁজে পেতে 5.3 মিলিয়ন মিলিয়ন বছর সময় লাগবে তাই হ্যাঁ পিএইচপি 300 সেকেন্ডে কাজ করতে পারে, বড় উওফ, আসলে কিছু যায় আসে না। আমরা লবণের কারণ হ'ল যদি কেউ সমস্ত সাধারণ অভিধানের বাক্যাংশ তৈরি করতে বিরত থাকে তবে (2 ^ 160 জন, 2007 এর যুগের শোষণগুলিতে স্বাগতম)।

সুতরাং আমি পরীক্ষার এবং প্রশাসকের উদ্দেশ্যে ব্যবহার করি এমন 2 জন ব্যবহারকারী সহ এখানে একটি আসল ডাটাবেস।

RegistrationTime        UserName        UserPass    
1280185359.365591       briang      a50b63e927b3aebfc20cd783e0fc5321b0e5e8b5
1281546174.065087       test        5872548f2abfef8cb729cac14bc979462798d023

আসলে, সল্টিং স্কিমটি আপনার শ 1 (নিবন্ধকরণের সময় + ব্যবহারকারীর নাম)। এগিয়ে যান, আমাকে আমার পাসওয়ার্ড বলুন, এগুলি উত্পাদনের আসল পাসওয়ার্ড। এমনকি আপনি সেখানে বসে পিএইচপি তে একটি শব্দ তালিকা হ্যাশ করতে পারেন। বুনো যাও।

আমি পাগল নই, আমি কেবল জানি এটি নিরাপদ। মজার স্বার্থে, পরীক্ষার পাসওয়ার্ডটি test। sha1(sha1(1281546174.065087 + test) + test) = 5872548f2abfef8cb729cac14bc979462798d023

আপনাকে কেবলমাত্র এই ব্যবহারকারীর 27662aee8eee1cb5ab4917b09bdba31d091ab732জন্য একটি সম্পূর্ণ রেইনবো টেবিল তৈরি করতে হবে । এর অর্থ আমি আমার পাসওয়ার্ডগুলিকে সমস্ত একক রেইনবো টেবিলের সাথে আপস না করার অনুমতি দিতে পারি, হ্যাকারকে পরীক্ষার জন্য 27662aee8eee1cb5ab4917b09bdba31d091ab732, এবং আবার f3f7735311217529f2e020468004a2aa5b3e7f3e7b3de7 জন্য একটি সম্পূর্ণ রেইনবো টেবিল তৈরি করা দরকার। সমস্ত হ্যাশগুলির জন্য 5.3 মিলিয়ন মিলিয়ন বছর ফিরে দেখুন। মাত্র 2 ^ 80 হ্যাশগুলি সংরক্ষণ করার আকারের কথা চিন্তা করুন (এটি ভাল 20 ইওটাবাইটের বেশি ), এটি ঘটছে না।

হ্যাশকে এমন কিছু তৈরি করার মাধ্যম হিসাবে সল্টিংকে বিভ্রান্ত করবেন না যা আপনি কখনও ডিকোড করতে পারবেন না, এটি একটি রেনবো টেবিলকে সমস্ত অনুবাদ করা থেকে বিরত করার মাধ্যম আপনার ব্যবহারকারীর পাসওয়ার্ড । প্রযুক্তির এই স্তরে এটি অপ্রয়োজনীয়।

Question 9

অভিধান হামলা পিছনে ধারণা যে আপনি একটি হ্যাশ গ্রহণ করা এবং পাসওয়ার্ড, যা থেকে এই হ্যাশ নির্ণিত ছিল খুঁজে ছাড়া হ্যাশ গণনা । এখন লবণযুক্ত পাসওয়ার্ড দিয়ে একই করুন - আপনি পারবেন না।

লবণ ব্যবহার না করা পাসওয়ার্ড অনুসন্ধান ডেটাবেসে দেখার মতো সহজ করে তোলে। আক্রমণকারীকে লবণ যুক্ত করা সমস্ত সম্ভাব্য পাসওয়ার্ডের হ্যাশ গণনা সম্পাদন করে (এমনকি অভিধানের জন্য এটিও আক্রমণাত্মক সময়কে উল্লেখযোগ্যভাবে বাড়িয়ে তোলে)।

Question 10

সহজ কথায়: সল্ট না করে প্রতিটি পরীক্ষার্থীর পাসওয়ার্ড প্রতিটি ব্যবহারকারীর বিরুদ্ধে, "পরিচিত মহাবিশ্বের যে কোনও জায়গায়" (আপোস করা ডেটাবেসগুলির সংগ্রহ), যাঁর পাসওয়ার্ড একই অ্যালগরিদমের মাধ্যমে হ্যাশ করা হয়েছে কেবল একবার তা পরীক্ষা করার জন্য একবার ধোয়া দরকার। সল্টিংয়ের সাথে, যদি সম্ভাব্য লবণের মানগুলি "জ্ঞাত মহাবিশ্বের" ব্যবহারকারীর সংখ্যার চেয়ে বেশি হয়ে যায়, তবে প্রতিটি পরীক্ষার্থীর পাসওয়ার্ড অবশ্যই প্রত্যেক ব্যবহারকারীর জন্য পৃথকভাবে হ্যাশ করা উচিত যার বিরুদ্ধে এটি পরীক্ষা করা হবে।

Question 11

কেবল সল্টিংয়ের মাধ্যমে হ্যাশ আক্রমণ (ব্রুটফোর্স বা অভিধান) রোধ করে না, এটি কেবল এটিকে আরও শক্ত করে তোলে; আক্রমণকারীকে হয় সল্টিং অ্যালগরিদম (যা সঠিকভাবে প্রয়োগ করা হলে আরও পুনরাবৃত্তি ব্যবহার করা হবে) বা অ্যালগোতে ব্রুটফোর্ডের সন্ধান করা দরকার, যা খুব সহজ না হলেও প্রায় অসম্ভব। সল্টিং প্রায়শই সম্পূর্ণভাবে রেইনবো টেবিলের অনুসন্ধানের বিকল্পটি বাতিল করে দেয় ...

Question 12

লবণ রেইনবো টেবিল তৈরি করে আক্রমণকে আরও জটিল করে তোলে কারণ এটি একটি একক পাসওয়ার্ডের হ্যাশটিকে ক্র্যাক করা আরও শক্ত করে তোলে। কল্পনা করুন যে আপনার কাছে মাত্র 1 সংখ্যার ভৌতিক পাসওয়ার্ড রয়েছে। একটি রেইনবো টেবিল আক্রমণ সাথে সাথে এটিকে ক্র্যাক করবে crack

এখন কল্পনা করুন ডিবিতে প্রতিটি পাসওয়ার্ড অনেক এলোমেলো অক্ষরের দীর্ঘ এলোমেলো মান দিয়ে সল্ট করা হয়। এখন আপনার "1" এর লঘু পাসওয়ার্ড ডিবিতে 1 এর হ্যাশ হিসাবে প্লাস্টিকের একগুচ্ছ অক্ষর (লবণ) হিসাবে সঞ্চিত রয়েছে, সুতরাং এই উদাহরণে রংধনু টেবিলের মতো হ্যাশ থাকা দরকার: 1।

সুতরাং ধরে নিন আপনার লবণ সুরক্ষিত এবং এলোমেলো কিছু, বলুন ()% ISLDGHASKLU ( % #% #), হ্যাকারের রংধনু টেবিলটিতে 1 * ()% ISLDGHASKLU (*% #% #) এর জন্য প্রবেশের প্রয়োজন হবে। এখন একটি রংধনু টেবিল ব্যবহার করছে এমনকি এই সাধারণ পাসওয়ার্ডটি এখন ব্যবহারিক নয় is