Գաղտնաբառի կոտրում

Վիքիպեդիայից՝ ազատ հանրագիտարանից

Գաղտնաբառի կոտրումը ծածկագրերի վերականգման գործընթաց է, որը պահվում է կամ փոխվում է համակարգչի կողմից: Մի ընդհանուր մոտեցում է փորձվել գաղտնաբառերի համար: Օգտվողի նպատակն է կոտրել և վերականգնել մոռացված գաղտնաբառը (չնայած միանգամայն նոր գաղտնաբառի տեղադրումնել չի ապահովում լիովին անվտանգությունը), ինչպես նաև ձեռք բերել չարտոնված մուտք գործում համակարգ, կամ որպես համակարգի խափանման միջոց ստուգել ադմինիստրատորների գաղտնաբառերը:

Բովանդակություն

Ժամանակի անհրաժեշտությունը գաղտնաբառերի որոնման համար [խմբագրել]

Ժամանակը կապված է գաղտնաբառի կոտրման պրոցեսի հետ (տես գաղտնաբառի ուժ); որը չափում է գաղտնաբառը տեղեկատվական entropy-ով:Գաղտնաբառ կոտրելու մեթոդներից մեծ մասը համակարգիչից պահանջում է արտադրել բազմաթիվ թեկնածու ծածկագրեր, որոնցից յուրաքանչյուրը արդեն ստուգված են:. Brute-force կոտրումը, որով համակարգիչը փորձում է ամեն հնարավոր ստեղն կամ գաղտնաբար մինչև նրան հաջողվում է գտնել ամենացածր ընդհանուր կոտրման հայտարարը: Գաղտնաբառերի կոտրման ավելի տարածված մեթոդներից են բառարանների հարձակումները, կերպարների ստուգումը, word-ի ցուցակի փոխարինումը, և այլն., որոնք փորձում են նվազեցնել պահանջվող փորձությունների թիվը և ամենակոպիտ ձևերի կիրառումը:

Գաղտնաբառերի կոտրման կարողությունը օգտագործվում է համակարգչային ծրագրերի կողմից նաև որպես հնարավոր գաղտնաբառերի թվային ֆունկցիա որոնց հնարավոր կլինի ստուգել: Եթե խանգարել, ապա թիրախային գաղտնաբառը հասանելի կլինի վնասողի համար, նրանց թիվը կարող է բավականին մեծ լինել: Եթե ​​ոչ, ապա փոխարժեքը կախված է նրանից, թե վավերացման ծրագրային սահմաններում ինչպիսի հաճախությամբ գաղտնաբառը կարող եք փորձել: Մեկ ուրիշ դեպքում, երբ վնասողը կարող է այդ գործողությունը անել գուշակելով, երբ գաղտնաբառը օգտագործվում է ձևավորված կրիպտոգրաֆիկ ստեղնով: Նման դեպքերում վնասողը կարող է ստուգել գաղտնաբառային տվյալները կոդավորված են թե ոչ, օրինակ մեկ առևտրային արտադրանքի պահանջարքի փորձարկուման համար օգտագործվում է 103,000 WPA PSK գաղտնաբառը մեկ վարկյանում:[1]

Անձնական օգտագործման համակարգիչները կարող են քննվել ամեն տեղ մեկ միլիոնից մինչև տասնհինգ միլիոն գաղտնաբառերի միջև մեկ վարկյանում ընդեմ hash գաղտնաբառին թույլ ալգորիտմերի համար, ինչպիսին են DES կամ LanManager. See: John the Ripper benchmarks.[2] Օգտագործողը, որ ընտրել է ութ տառից բաղկացած գատնաբառ, խառը թվերով և սիմվոլներով, հասնում է 30 բիթ ամրության, ըստ NIST. 230 դա միայն մեկ բիլիոն դիրք է, և կտևի միջինը 16 րոպե` այն կոտրելու համար:[3] 2002 թվականին, distributed.net հաջողությամբ հայտնաբերելով 64 բիթ բանալին 4 տարում RC5, փորձ, որը ներառում է գրեթե 300,000 տարբեր համակարգիչներ տարբեր ժամանակաշրջանում, և որը ստեղծում է միջինը 12 բիլիոն բանալի 1 վայրկյանում [4] Graphics processor կարող են արագացնել գաղտնաբառի կոտրումը 50-ից 100 տարբեր նպատակների համակարգիչների: 201-ից սկսած կոմերցիոն պրոդուկտները ի վիճակի են լինելու թեսթավորել մինչև 2,800,000,000 գաղտնաբառ, մի վայրկյան ստանդարտ համակարգչի համար, օգտագործելով վերջին բարձր մակարդակի պրոցեսոր:ref name=elcomsoft>ElcomSoft Password Recovery Speed table, NTLM passwords, Nvidia Tesla S1070 GPU, accessed 2011-2-1</ref> Այսպիսի սարքը կարող կարող է կոտրել 10 տառ պարունակող հասարակ գաղտնաբառ մի օրում: Նշենք նաև որ աշխատանքը կարող է կատարվել մի քանի համակարգիչներով, հավելյալ արագությամբ, որը համեմատական է մի շարք առկա համակարգիչների` համեմատելի CPU-ներով:

Չնայած նրանց կարողություններին, desktop CPU-ները ավելի թույլ են գաղտնաբառ կոտրելու համար ավելի թույլ են գաղտնաբառի կոտրման համար, քան գաղտնաբառի կոտրման համար ստեղծված մեքենաները: 1998 թվականին ստեղծված Էլեկտրոնային սահմանամերձ Հիմնադրամը Electronic Frontier Foundation (EFF) նվիրված գաղտնաբառ կոտրողի օգտագործմանը,FPGAs, հակառակ CPU-ների գլխավոր նպատակին. Նրանց մեխանիզմըԽորը կոտրում, ջարդեց DES 56-բիթ բանալին 56 ժամում, փորձելով համարյա 90 բիլիոն բանալիներ 1 վայրկյանում:[5] In 2010, the Georgia Tech Research Institute developed a method of using GPGPU to crack passwords, coming up with a minimum secure password length of 12 characters.[6][7][8]

Հեշտ է հիշվում, դժվար կռահվում [խմբագրել]

Ամենահեշտ գաղտնաբառը օգտագործողի համար, որը հիմնականում հեշտ կհիշվի, նշանակում է կլինի ավելի դյուրին վնասողի համար կռահել այն:[9] Գաղտնաբառերը, որոնք դժվար են հիշվում, կմերժվեն համակարգի անվտանգության կողմից, որովհետև (a)օգտվողները կարիք կունենան գրել այն կամ այն պահել էլեկտրոնային տարբերակով: (b)օգտվողները հաճախակի կարիք կունենան վերականգնել գաղտնաբառը և (c) օգտվողները ավելի ցանկանում են նորից օգտագործել իրենց նույն գաղտաբառը: Նմանապես, գաղտնաբառի բարդության համար ավելի խիստ պահանջները, օրինակ, "ունենալ մեծատառերի, փոքրատառերի և թվերի խառնուրդ" կամ "փոխել այն ամսեկան", ամենամեծ աստիճանը, որի դեպքում օգտվողները տապալում են համակարգը:[10]

"Գաղտնաբառի հիշվողությունը և Անվտանգությունը" աշխատությունում,[11] Ջեֆ Յանը հետազոտել է խորհրդի էֆֆեկտիվությունը, որոնք տրվում են օգտագործողներին գաղտնաբառի ճիշտ ընտրության համար: Նրանք հայտնաբերեցին, որ գաղտնաբառերը, որոնք հիմնված են արտահայտություն մտածելու և ամեն բառի առաջին տառը վերցնելու վրա, ավելի հեշտ հիշվող են և շատ են ընտրվում, և այնքան դժվար են կոտրվում, որքան պատահական ընտրված գաղտնաբառերը: Կապակցելով երկու իրարից տարբեր բառերը մի ուրիշ լավ մեթդ է: Ունենալով հատուկ ձևավորված "algorithm" անորոշ գաղտնաբառ, դա էլ մի ուրիշ լավ մեթոդ է:

Այնուամենայնիվ, օգտվողներին օգտվողներին հարցնելով հիշել գաղտնաբառը իրենից պարունակում է "մեծատառ և փոքրատառերի խառնուրդ” որը նման է հարցնել նրանվ հիշելու բիթերի հերթականությունը` դժվար է հիշել, և միայն մի փոքր դժվար կոտրել(օրինակ միայն 128 անգամ ավելի դժվար է կոտրել 7 տառից բաղկացած գաղտնաբառերը, ավելի քիչ, երբ օգտվողը պարզորեն մի տառը մեծատառ է գրում): Օգտվողներին խնդրել օգտագործել "և տառեր և թվեր" հաճախ տանում է հեշտ գլխի ընկնելուն, ինչպես 'E' --> '3' և'I' --> '1', սրանք ավելի լավ են ծանոթ կոտրողներին: Նմանապես գաղտանաբառ գրել ստեղնաշարի մի շարք ներքևում, հասարակ մեթոդ է, լավ հայտնի կոտրողներին:

Միջադեպեր [խմբագրել]

1998 թվականի հուլիսի 16-ին, CERT-ը հայտնեց մի միջադեպի մասին, երբ վնասողը հայտնաբերել էր 186,126 գաղտնաբառ. Ժամանակի հետ դրանք հայտնաբերվեցին, բայց կոտրվել էին 47,642 գաղտնաբառ.[12]

2009 թվականի դեկտեմբերին գաղտնաբառերի ամենամեծ խախտումը տեղի ունեցավ, Rockyou.com վեբկայքը տարավ դեպի 32 միլիոն գաղտնաբառերի յուրացմանը: 2011 թվականի հունիսին, ՆԱՏՕ-ն (North Atlantic Treaty Organization) փորձեց մի անվտանգության խախտում, որը բերեց հասարակության անվան և ազգանվան յուրացմանը, մուտքաբառերը և գաղտնաբառերը, ավելի քան 11,000 գրանցված օգտվողներին իրենց էլեկտրոնային խանութներում:

2011 թվականի հուլիսին Booz Allen Hamilton, հզոր Ամերիկյան խորհրդատվական ընկերությունը, որ կատարեց աշխատանքի մեծ մասըՊենտագոնի համար, որոնց իրենց սերվերները վնասվեցին Անոնիմկողմից և հայտնաբերվեցին նույն օրը: "Վնասը, որ զուգորդվեց 'Military Meltdown Monday-ի կողմից պարունակում է 90,000 զինվորական անձնակազմի լոգին—ներառյալ USCENTCOM- անձնակազմը, SOCOM, the Marine Corps, տարբերAir Force հաստատություններ, Homeland Security, State Department անձնակազմը, և որը երևում է կոնտրակտորների անձնական սեկտորում:"[13]

2011 թվականի hwulisi 18-in Microsoft Hotmail-ը արգելեց "123456" գաղտնաբառը.[14]

Կանխարգելում [խմբագրել]

    1rightarrow.png Հիմնական հոդված ՝ Ստվերային գաղտնաբառ

Գաղտնաբառի կոտրման ամենալավ մեթոդը, դա համոզված լինելն է, որ կոտրողները չեն կարող մուտք ունենալ նույնիսկ կտրտված գաղտնաբառին: Օրինակ,Unix operating system, կտրտված գաղտնաբառերը հիմնականում պահվում են հասարակայնորեն մատչելի տեղում: /etc/passwd.

Լուծումներ, ինչպես անվտանգության նշան տալիս են պաշտոնական ապացույց պատասխան հիմնական գաղտնաբառին. Այս լուծումները կտրուկ նվազեցնում են ժամանակացույցը brute forcing-ի համար (վնասողները կարիք ունեն ջարդել և օգտագործել գաղտնաբառ հեշտ շիֆթով) և նրանք նվազեցնում են գողացված գաղտնաբառերի արժեքը, դրանց կարճ ժամանակայնության պատճառով:

Ծրագրեր [խմբագրել]

Կաղապար:Հիմնականը: Գոյություն ունեն գաղտնաբառ կոտրելու շատ ծրագրեր, բայց ամենահայտնին է [15] are Cain and Abel, John the Ripper, Hydra և ElcomSoft.Շատ litigation support software փաթեթեներ պարունակում են գաղտնաբառ կոտրող ֆունկցիաներ:

Տեղեկանքներ [խմբագրել]

  1. Elcomsoft Wireless Security Auditor, HD5970 GPU, accessed 2011-2-11
  2. openwall.info
  3. «Electronic Authentication Guideline» (PDF)։ NIST։ http://csrc.nist.gov/publications/nistpubs/800-63/SP800-63V1_0_2.pdf։ Վերցված է March 27, 2008։ 
  4. «64-bit key project status»։ Distributed.net։ http://stats.distributed.net/projects.php?project_id=5։ Վերցված է March 27, 2008։ 
  5. «EFF DES Cracker machine brings honesty to crypto debate»։ EFF։ http://w2.eff.org/Privacy/Crypto/Crypto_misc/DESCracker/HTML/19980716_eff_descracker_pressrel.html։ Վերցված է March 27, 2008։ 
  6. «Teraflop Troubles: The Power of Graphics Processing Units May Threaten the World's Password Security System»։ Georgia Tech Research Institute։ http://www.gtri.gatech.edu/casestudy/Teraflop-Troubles-Power-Graphics-Processing-Units-GPUs-Password-Security-System։ Վերցված է 2010-11-07։ 
  7. «Want to deter hackers? Make your password longer». MSNBC. 2010-08-19. http://www.msnbc.msn.com/id/38771772/։ Վերցված է 2010-11-07. 
  8. Walters, Dave (2010-09-02). «The Rise of The Programmable GPU – And The Death Of The Modern Password». Techdrawl. http://techdrawl.com/News-Post/Tech-Transfer/The-Rise-of-The-Programmable-GPU-%E2%80%93-And-The-Death-Of-The-Modern-Password։ Վերցված է 2010-11-07. 
  9. Vance, Ashlee (January 20, 2010). «If Your Password Is 123456, Just Make It HackMe». The New York Times. http://www.nytimes.com/2010/01/21/technology/21password.html. 
  10. Fred Cohen and Associates
  11. The Memorability and Security of Passwords
  12. «CERT IN-98.03»։ http://www.cert.org/incident_notes/IN-98.03.html։ Վերցված է 2009-09-09։ 
  13. «Anonymous Leaks 90,000 Military Email Accounts in Latest Antisec Attack»։ July 11, 2011։ http://gizmodo.com/5820049/anonymous-leaks-90000-military-email-accounts-in-latest-antisec-attack։ 
  14. «Microsoft's Hotmail Bans 123456»։ July 18, 2011։ http://blog.imperva.com/2011/07/microsofts-hotmail-bans-123456.html։ 
  15. «Top 10 Password Crackers»։ Sectools։ http://sectools.org/crackers.html։ Վերցված է 2008-11-01։ 

Արտաքին հղումներ [խմբագրել]


Blank template.gif
 Այս հոդվածը կատեգորիայի կարիք ունի։
Դուք կարող եք օգնել նախագծին՝ կատեգորիա գտնել կամ ստեղծել ու ավելացնել հոդվածին։
Ստացված է «http://hy.wikipedia.org/w/index.php?title=Գաղտնաբառի_կոտրում&oldid=1176877» էջից