Մասնակից:Mariam Asatryan/Գաղտնաբառի կոտրում

Վիքիպեդիայից՝ ազատ հանրագիտարանից

Գաղտնաբառի կոտրումը ծածկագրերի վերականգման գործընթաց է, որոնք պահվում են կամ փոխվում են համակարգչի կողմից: Մի ընդհանուր մոտեցում է փորձվել գաղտնաբառերի համար: Օգտվողի նպատակն է կոտրել և վերականգնել մոռացված գաղտնաբառը (չնայած միանգամայն նոր գաղտնաբառի տեղադրումնել չի ապահովում լիովին անվտանգությունը), ինչպես նաև ձեռք բերել չարտոնված մուտք գործում համակարգ, կամ որպես համակարգի խափանման միջոց ստուգել ադմինիստրատորների գաղտնաբառերը:

Ժամանակի անհրաժեշտությունը գաղտնաբառերի որոնման համար[խմբագրել | խմբագրել կոդը]

Ժամանակը կապված է գաղտնաբառի կոտրման պրոցեսի հետ (տես գաղտնաբառի ուժ); որը չափում է գաղտնաբառը տեղեկատվական entropy:Գաղտնաբառ կոտրելու մեթոդներից մեծ մասը համակարգիչից պահանջում է արտադրել բազմաթիվ թեկնածու ծածկագրեր, որոնցից յուրաքանչյուրը արդեն ստուգված ե:. Brute-force կոտրումը , որով համակարգիչը փորձում է ամեն հնարավոր ստեղն կամ գաղտնաբար մինչև նրան հաջողվում է գտնել ամենացածր ընդհանուր կոտրման հայտարարը. Գաղտնաբառերի կոտրման ավելի տարածված մեթոդներից են բառարանների հարձակումները, կերպարների ստուգումը, word-ի ցուցակի փոխարինումը, և այլն., որոնք փորձում են նվազեցնել պահանջվող փորձությունների թիվը և ամենակոպիտ ձևերի կիրառումը:

Գաղտնաբառերի կոտրման կարողությունը օգտագործվում է համակարգչային ծրագրերի կողմից նաև որպես հնարավոր գաղտնաբառերի թվային ֆունկցիա որոնց հնարավոր կլինի ստուգել: Եթե խանգարել, ապա թիրախային գաղտնաբառը հասանելի կլինի վնասողի համար, նրանց թիվը կարող է բավականին մեծ լինել: Եթե ​​ոչ, ապա փոխարժեքը կախված է նրանից, թե վավերացման ծրագրային սահմաններում ինչպիսի հաճախությամբ գաղտնաբառը կարող եք փորձել: Մեկ ուրիշ դեպքում, երբ վնասողը կարող է այդ գործողությունը անել գուշակելով, երբ գաղտնաբառը օգտագործվում է ձևավորված կրիպտթգրաֆիկ ստեղնով: Նման դեպքերում վնասողը կարող է ստուգել գաղտնաբառային տվյալները կոդավորված են թե ոչ, օրանակ մեկ առևտրային արտադրանքի պահանջարքի փորձարկուման համար օգտագործվում է 103,000 WPA PSK գաղտնաբառը մեկ վարկյանում:[1]

Individual desktop computers can test anywhere between one million to fifteen million passwords per second against a password hash for weaker algorithms, such as DES or LanManager. See: John the Ripper benchmarks.[2] A user-selected eight-character password with numbers, mixed case, and symbols, reaches an estimated 30-bit strength, according to NIST. 230 is only one billion permutations and would take an average of 16 minutes to crack.[3] When ordinary desktop computers are combined in a cracking effort, as can be done with botnets, the capabilities of password cracking are considerably extended. In 2002, distributed.net successfully found a 64-bit RC5 key in four years, in an effort which included over 300,000 different computers at various times, and which generated an average of over 12 billion keys per second.[4] Graphics processors can speed up password cracking by a factor of 50 to 100 over general purpose computers. As of 2011, commercial products are available that claim the ability to test up to 2,800,000,000 passwords a second on a standard desktop computer using a high-end graphics processor.[5] Such a device can crack a 10 letter single-case password in one day. Note that the work can be distributed over many computers for an additional speedup proportional to the number of available computers with comparable GPUs.

Despite their capabilities, desktop CPUs are slower at cracking passwords than purpose-built password breaking machines. In 1998, the Electronic Frontier Foundation (EFF) built a dedicated password cracker using FPGAs, as opposed to general purpose CPUs. Their machine, Deep Crack, broke a DES 56-bit key in 56 hours, testing over 90 billion keys per second.[6] In 2010, the Georgia Tech Research Institute developed a method of using GPGPU to crack passwords, coming up with a minimum secure password length of 12 characters.[7][8][9]

Easy to remember, hard to guess[խմբագրել | խմբագրել կոդը]

The easier a password is for the owner to remember generally means it will be easier for an attacker to guess.[10] Passwords which are difficult to remember will reduce the security of a system because (a) users might need to write down or electronically store the password, (b) users will need frequent password resets and (c) users are more likely to re-use the same password. Similarly, the more stringent requirements for password strength, e.g. "have a mix of uppercase and lowercase letters and digits" or "change it monthly", the greater the degree to which users will subvert the system.[11]

In "The Memorability and Security of Passwords",[12] Jeff Yan et al. examine the effect of advice given to users about a good choice of password. They found that passwords based on thinking of a phrase and taking the first letter of each word are just as memorable as naively selected passwords, and just as hard to crack as randomly generated passwords. Combining two unrelated words is another good method. Having a personally designed "algorithm" for generating obscure passwords is another good method.

However, asking users to remember a password consisting of a “mix of uppercase and lowercase characters” is similar to asking them to remember a sequence of bits: hard to remember, and only a little bit harder to crack (e.g. only 128 times harder to crack for 7-letter passwords, less if the user simply capitalises one of the letters). Asking users to use "both letters and digits" will often lead to easy-to-guess substitutions such as 'E' --> '3' and 'I' --> '1', substitutions which are well known to attackers. Similarly typing the password one keyboard row higher is a common trick known to attackers.

Incidents[խմբագրել | խմբագրել կոդը]

On July 16, 1998, CERT reported an incident where an attacker had found 186,126 encrypted passwords. By the time they were discovered, they had already cracked 47,642 passwords.[13]

In December 2009, a major password breach of the Rockyou.com website occurred that led to the release of 32 million passwords. The hacker then leaked the full list of the 32 million passwords (with no other identifiable information) to the internet. Passwords were stored in cleartext in the database and were extracted through a SQL Injection vulnerability. The Imperva Application Defense Center (ADC) did an analysis on the strength of the passwords.[14]

In June 2011, NATO (North Atlantic Treaty Organization) experienced a security breach that led to the public release of first and last names, usernames, and passwords for more than 11,000 registered users of their e-Bookshop. The data was leaked as part of Operation AntiSec, a movement that includes Anonymous, LulzSec, as well as other hacking groups and individuals. The aim of AntiSec is to expose personal, sensitive, and restricted information to the world, using any means necessary.[15]

On July 11, 2011, Booz Allen Hamilton, a large American Consulting firm that does a substantial amount of work for the Pentagon, had their servers hacked by Anonymous and leaked the same day. "The leak, dubbed 'Military Meltdown Monday,' includes 90,000 logins of military personnel—including personnel from USCENTCOM, SOCOM, the Marine Corps, various Air Force facilities, Homeland Security, State Department staff, and what looks like private sector contractors."[16] These leaked passwords wound up being hashed in Sha1, and were later decrypted and analyzed by the ADC team at Imperva, revealing that even military personnel look for shortcuts and ways around the password requirements.[17]

On July 18, 2011, Microsoft Hotmail banned the password: "123456".[18]

Prevention[խմբագրել | խմբագրել կոդը]

Հիմնական հոդված՝ Shadow password

The best method of preventing password cracking is to ensure that attackers cannot get access even to the hashed password. For example, on the Unix operating system, hashed passwords were originally stored in a publicly accessible file /etc/passwd. On modern Unix (and similar) systems, on the other hand, they are stored in the file /etc/shadow, which is accessible only to programs running with enhanced privileges (ie, "system" privileges). This makes it harder for a malicious user to obtain the hashed passwords in the first instance. Unfortunately, many common network protocols transmit passwords in cleartext or use weak challenge/response schemes.[19][20]

Modern Unix systems have replaced traditional DES-based password hashing with stronger methods based on MD5 and Blowfish.[21] Other systems have also begun to adopt these methods. For instance, the Cisco IOS originally used a reversible Vigenère cipher to encrypt passwords, but now uses md5-crypt with a 24-bit salt when the "enable secret" command is used.[22] These newer methods use large salt values which prevent attackers from efficiently mounting offline attacks against multiple user accounts simultaneously. The algorithms are also much slower to execute which drastically increases the time required to mount a successful offline attack.[23]

Many hashes used for storing passwords, such as MD5 and the SHA family, are designed for fast computation and efficient implementation in hardware. Using key stretching algorithms, such as PBKDF2, to form password hashes can significantly reduce the rate at which passwords can be tested.

Solutions like a security token give a formal proof answer by constantly shifting password. Those solutions abruptly reduce the timeframe for brute forcing (attacker needs to break and use the password within a single shift) and they reduce the value of the stolen passwords because of its short time validity.

Software[խմբագրել | խմբագրել կոդը]

Այս կատեգորիան հիմնական հոդված դեռ չունի՝ Password cracking software: Դուք կարող եք օգնել նախագծին, եթե գրեք այն:

There are many password cracking software tools, but the most popular[24] are Cain and Abel, John the Ripper, Hydra and ElcomSoft. Many litigation support software packages also include password cracking functionality. Most of these packages employ a mixture of cracking strategies, with brute force and dictionary attacks proving to be the most productive, however more successful software packages are usually private tools and are not published publicly.

References[խմբագրել | խմբագրել կոդը]

  1. Elcomsoft Wireless Security Auditor, HD5970 GPU, accessed 2011-2-11
  2. openwall.info
  3. «Electronic Authentication Guideline» (PDF). NIST. Վերցված է March 27, 2008-ին.
  4. «64-bit key project status». Distributed.net. Վերցված է March 27, 2008-ին.
  5. ElcomSoft Password Recovery Speed table, NTLM passwords, Nvidia Tesla S1070 GPU, accessed 2011-2-1
  6. «EFF DES Cracker machine brings honesty to crypto debate». EFF. Վերցված է March 27, 2008-ին.
  7. «Teraflop Troubles: The Power of Graphics Processing Units May Threaten the World's Password Security System». Georgia Tech Research Institute. Վերցված է 2010-11-07-ին.
  8. «Want to deter hackers? Make your password longer». MSNBC. 2010-08-19. Վերցված է 2010-11-07-ին.
  9. Walters, Dave (2010-09-02). «The Rise of The Programmable GPU – And The Death Of The Modern Password». Techdrawl. Վերցված է 2010-11-07-ին.
  10. Vance, Ashlee (January 20, 2010). «If Your Password Is 123456, Just Make It HackMe». The New York Times.
  11. Fred Cohen and Associates
  12. The Memorability and Security of Passwords
  13. «CERT IN-98.03». Վերցված է 2009-09-09-ին.
  14. «Consumer Password Worst Practices» (PDF).
  15. «NATO Hack Attack». Վերցված է July 24, 2011-ին.
  16. «Anonymous Leaks 90,000 Military Email Accounts in Latest Antisec Attack». July 11, 2011.
  17. «Military Password Analysis». July 12, 2011.
  18. «Microsoft's Hotmail Bans 123456». July 18, 2011.
  19. No Plaintext Passwords
  20. Cryptanalysis of Microsoft's Point-to-Point Tunneling Protocol
  21. A Future-Adaptable Password Scheme
  22. MDCrack FAQ 1.8
  23. Password Protection for Modern Operating Systems
  24. «Top 10 Password Crackers». Sectools. Վերցված է 2008-11-01-ին.

External links[խմբագրել | խմբագրել կոդը]


Կաղապար:Password Cracking Software

Category:Cryptographic attacks Category:Password authentication * Category:Computer security exploits Category:System administration Category:Crimes Category:Computer law

Ստացված է «https://hy.wikipedia.org/w/index.php?title=Մասնակից:Mariam_Asatryan/Գաղտնաբառի_կոտրում&oldid=4376908» էջից