.
Las contraseñas y las "frases del paso" se utilizan para todo que se extiende de la registración en los terminales a comprobar cuentas del email, de la protección sobresalen las hojas de balance a asegurar las llaves del cifrado para las redes PKI-permitidas de la empresa. Su uso en la empresa es extenso, decir el lo menos.
Las galletas de la contraseña son los programas que ayudan en el descubrimiento de contraseñas protegidas, generalmente con un cierto método de conjeturar automatizado. Aunque un poco de usos y equipo mal diseñado de la infraestructura cifrarán o codificarán contraseñas, la mayoría de los sistemas operativos y de los dispositivos del día moderno crean un picadillo de la contraseña en lugar de otro.
Aunque algunos mecanismos pobres del cifrado pueden ser invertidos fácilmente, los métodos modernos del hashing del día son unidireccionales—es decir, ellos no pueden ser invertidos y por lo tanto el desciframiento no es una opción. Aunque el uso de algoritmos unidireccionales puede sonar como una solución roca-so'lida, simplemente hace la tarea actual poco un más desperdiciador de tiempo. Para evitar los desafíos creados por el hashing, las galletas de la contraseña emplean simplemente el mismo algoritmo usado para cifrar la contraseña original. Las herramientas realizan análisis comparativo, e intentan simplemente emparejar sus conjeturas con el picadillo cifrado original de la frase o de la contraseña.
Muchas galletas de la contraseña no son nada pero conjeturando los motores, los programas que intentan palabra después de la palabra, a menudo a las altas velocidades. Estos programas confían en la teoría que usted encontrará eventual la palabra o la frase derecha. Esta teoría es sana porque los seres humanos son criaturas perezosas. Toman raramente el apuro para crear contraseñas fuertes. Sin embargo, este defecto no es siempre la avería del usuario:
Los usuarios están raramente, si siempre, educado en cuanto a cuáles son opciones sabias para las contraseñas. Si una contraseña está en el diccionario, es extremadamente vulnerable a ser agrietada, y no entrenan a los usuarios simplemente en cuanto a las opciones "seguras" para las contraseñas. En esos usuarios que sean tan educados, muchos piensan eso simplemente porque su contraseña no es en/usr/dict/palabras, él son seguros de la detección. Muchos usuarios también dicen que porque no tienen archivos privados en línea, no están referidos a la seguridad de su cuenta, realizando poco que proporcionando un punto de entrada al sistema permiten que el daño sea labrado en su sistema entero por una galleta malévola.
Debe ser observado, sin embargo, que el acercamiento crudo del "E'l-no-en-$$$-DICCIONARIO" ahora está engañando algo también. los diccionarios Contraseña-que se agrietan ahora contienen centenares de millares de nombres populares, de caracteres, de vendas musicales, de argot, de expletives, y de un surtido de términos cultural populares que pudieron o no pudieron estar en un diccionario clásico. Exploraremos la profundidad y la flexibilidad de la contraseña que conjeturan más adelante encendido, pero la nueva regla del pulgar es evitar cualquier clase de palabra toda junta. Por ejemplo, "808state" es conjeturado fácilmente por la mayoría de las galletas de la contraseña, no sólo porque se basa en una palabra (estado) y un número (808), sino que también porque es el nombre de una venda popular fuera de Manchester, Inglaterra. Contraseñas más fuertes pueden ser creadas usando una combinación de letras, de números, y de caracteres extendidos. Las siglas trabajan maravillosamente, por ejemplo, "estoy intentando aprender técnicas de la seguridad de la información rápidamente!" podía ser "IT2LISTQ traducido!". Esto es una contraseña MUCHO más dura a conjeturar, sino a ser no toda ese difícil de recordar.
El problema simple de la contraseña es persistente a pesar de el hecho de que es fácil proporcionar la educación de la contraseña-seguridad. Está desconcertando cómo una edición de seguridad tan crítica (que puede ser tratada fácilmente) se pasa por alto a menudo. La edición va a la misma base de la seguridad:
Explotar contraseñas enfermo-elegidas y pobre-protegidas es uno de los ataques más comunes contra la seguridad del sistema usada por las galletas. Casi cada sistema multiusos utiliza contraseñas para proteger contra conexiones desautorizadas, pero comparativamente pocas instalaciones las utilizan correctamente. El problema es universal en la naturaleza, sistema-no especi'fico; y las soluciones son simples, baratas, y aplicables a cualquier computadora, cueste lo que cueste del sistema operativo o del hardware. Pueden ser entendidas por cualquier persona, y no toma a un administrador o a programador para ponerlos en ejecucio'n.
Extremidad
Una trampa adicional de la contraseña que se pasa por alto con frecuencia es el panorama de la sobrecarga de la contraseña. Si los usuarios tienen una multiplicidad de contraseñas a recordar, hay una mayor ocasión que las escribirán para tragar, utilizar contraseñas más débiles, o introducir un surtido de la otra contraseña insegura practica en su ambiente. Aquí es donde los sistemas de la autentificación, los servicios del directorio, y la solo-muestra centralizados en soluciones pueden ayudarle. Reducen no solamente gastos de explotación y complejidad, le ayudan en última instancia con su postura total de la seguridad.
La raíz etimológica de la criptografía de la palabra es instructiva. La palabra crypto proviene los kryptos griegos de la palabra. Kryptos describe cualquier cosa se oculta que, obscurecido, velado, secreto, o misterioso. El gráfico de la palabra se deriva del graphia, que significa la escritura. Así, la criptografía es el arte de la escritura secreta. Yaman Akdeniz, en su criptografía y cifrado de papel, da una definición excelente y sucinta de la criptografía:
La criptografía, definida como "la ciencia y el estudio de la escritura secreta," se refiere a las maneras de las cuales las comunicaciones y los datos se pueden codificar para prevenir acceso de su contenido con escuchar detras de las puertas o la interceptación del mensaje, usando códigos, cifras, y otros métodos, de modo que solamente cierta gente pueda ver el mensaje verdadero.
Otro método levemente más complejo es hacer que cada letra se convierte en otra letra, basada en una operación incremental o decreciente estándar. Un sistema que trabaja esta manera es la codificación ROT-13. En ROT-13, se utiliza una letra substituta. La mudanza de 13 letras a continuación en el alfabeto elegido deriva la letra substituta.
Éste, es también un método ineficaz de codificar o de cifrar un mensaje (aunque trabajó en las épocas romanas para Caesar, que utilizó a cambiar de puesto-por-tres fórmula). Algunos programas identifican rápidamente este patrón. Sin embargo, esto no significa que las técnicas tales como ROT-13 son inútiles. Ilustraré porqué, y en el proceso, puedo demostrar el primer punto importante sobre el cifrado:
Cualquier forma de cifrado puede ser útil, dado circunstancias particulares. Estas circunstancias pudieron depender del tiempo, la sensibilidad de la información, y de quién usted desea ocultar datos.
Es decir las técnicas tales como ROT-13 pueden ser absolutamente útiles bajo circunstancias derechas. Aquí está un ejemplo: Suponga que una galleta desea fijar una nueva técnica que se agrieta al USENET. Lo encuentran un agujero y desea publicarlo mientras que sigue siendo explotable. Para evitar que los especialistas de la seguridad descubran ese agujero tan rápidamente como las galletas, la galleta utiliza ROT-13 para codificar su mensaje.
Hay un número de organizaciones que descargan tráfico del USENET sobre una base al por mayor. De esta manera, recopilan la información sobre la comunidad de la galleta. Algunas organizaciones incluso utilizan los motores de búsqueda populares para ferret fuera de técnicas de la galleta. Estos motores de búsqueda emplean las búsquedas del regex (expresión regular) (es decir, buscan por palabra o frase). Por ejemplo, el partido que busca incorpora una combinación de palabras por ejemplo
· grieta
· corte
· vulnerabilidad
· hazaña
Cuando esta combinación de palabras se incorpora correctamente, una abundancia de la información emerge. Sin embargo, si la galleta utiliza ROT-13, los motores de búsqueda faltarán el poste. Por ejemplo, el mensaje
Pbqvat de la Virginia EBG-13 del rapbqrq del jnf del zrffntr de Guvf. Obl, fperjl del ybbx del vg del qvq hagvy
¡haeniryrq vg del jr!
está más allá del alcance del Search Engine medio. Qué realmente parece es éste:
Este mensaje fue codificado en la codificación ROT-13. Muchacho, parecía screwy hasta
¡lo desenredamos!
La mayoría del correo y de los newsreader modernos apoyan la codificación ROT-13 y descifrar (el agente libre de Forte es uno; El paquete del correo del Netscape Communicator Es otro). Una vez más ésta es una forma rudimentaria de codificar algo, pero demuestra el concepto. Ahora, déjenos consiguen un pedacito más específico.
Hoy, los servidores de información del Internet funcionan muchos diversos sistemas operativos. Sin embargo, por muchos años, UNIX era el único juego en ciudad. El mayor número de las galletas de la contraseña fue diseñado para agrietar las contraseñas de UNIX. Comencemos con UNIX, entonces, y trabaje nuestra manera adelante.
En UNIX, todas las identificaciones de la conexión del usuario y contraseñas centralmente se almacenan en cualquiera uno de dos archivos: el archivo del passwd, encontrado generalmente en directorio/etc, o un archivo llamó la sombra, también situada en directorio/etc. Estos archivos contienen varios campos. De ésos, nos referimos a dos: la identificación de la conexión y la contraseña hashed.
Extremidad
Usar "contraseñas de la sombra" es la manera preferida de almacenar contraseña hashes. / etc/archivo de la sombra es solamente accesible por los servicios de la cuenta y de sistema de la raíz, en comparación con/etc/el passwd, que es legible por cada uno. Si usted tiene cualesquiera sistemas que todavía estén almacenando contraseña hashes en/etc/passwd, auméntelos para sombrear contraseñas o para quitarlas de su ambiente cuanto antes.
La identificación de la conexión se almacena en texto llano, o inglés humano legible. La contraseña se almacena en forma cifrada. Se realiza el proceso del cifrado usando Crypt(3), un programa basado en el estándar de cifrado de datos (DES).
La IBM desarrolló la versión más temprana del DES; hoy, se utiliza en todas las plataformas de UNIX para el cifrado de la contraseña. El DES es endosado en común por la oficina nacional de los estándares y de la agencia de la seguridad nacional. En hecho, desde 1977, el DES ha sido el método generalmente aceptado para salvaguardar datos sensibles.
El DES fue desarrollado para proteger seguro nonclassified la información que pudo existir en oficinas federales, según lo dispuesto en la publicación federal 74, pautas de los estándares de la tratamiento de la información para poner y usar el estándar de cifrado en ejecucio'n de datos de NBS:
Debido a la indisponibilidad de la tecnología criptográfica general fuera de la arena de la seguridad nacional, y porque las provisiones de la seguridad, incluyendo el cifrado, fueron necesitadas en los usos sin clasificar que implicaban sistemas informáticos del gobierno federal, NBS iniciaron un programa de la seguridad de la computadora en 1973 que incluyeron el desarrollo de un estándar para el cifrado de datos de la computadora. Porque los estándares federales afectan el sector privado, NBS solicitó el interés y la cooperación de la industria y de las comunidades de usuario en esto trabajo.
La información sobre el desarrollo mecánico original del DES es escasa. Según se informa, en la petición de la agencia de la seguridad nacional, la IBM hizo ciertos documentos clasificados. Sin embargo, el código de fuente para Crypt(3) (la puesta en práctica actual del DES en UNIX) está extensamente disponible. Esto es significativo porque en todos los años que la fuente ha estado disponible para la cripta, nadie todavía ha encontrado una manera reverso-de codificar fácilmente la información cifrada con él.
Hay varias versiones de la cripta, y trabajan levemente diferentemente. En general, sin embargo, el proceso está como sigue:
1. Su contraseña se toma en texto llano (o, en jerga criptográfica, texto claro).
2. Su contraseña se utiliza como una llave para cifrar una serie de los ceros (64 en todos). El texto codificado que resulta se refiere después de eso como texto de la cifra, el código ilegible que los resultados después del texto llano están cifrados. Este texto de la cifra se refiere a veces como un picadillo, también, pero los ajustes del término solamente libremente en este caso.
Nota
Las funciones unidireccionales del picadillo se utilizan con frecuencia como alternativa a las contraseñas realmente que cifran. Usando algoritmos de cálculo tales como MD5 o SHA-1, una huella digital se puede crear de la contraseña que no contiene la contraseña real sí mismo. Esto varía del proceso del cifrado porque la salida no contiene la entrada original en ninguna forma, y es por lo tanto imposible derivar la entrada original de la salida. Muchos sistemas modernos de UNIX se están moviendo hacia el uso de MD5 hashes en vez de confiar en el proceso de la cripta/DES. Si usted está interesado en técnicas unidireccionales del hashing, o la criptografía en general, criptografía aplicada de Bruce Schneier (Juan Wiley y hijos, ISBN 0-471-12845-7) es un deber-tener.
Ciertas versiones de la cripta, notablemente Crypt(3), toman medidas adicionales. Por ejemplo, después de pasar con este proceso, el texto cifrado se cifra otra vez, las épocas numerosas, usando la contraseña como llave. Éste es un método bastante fuerte de cifrado; es extremadamente difícil romperse. Se estima, por ejemplo, que la misma contraseña se puede codificar de 4.096 diversas maneras. El usuario medio, sin ningún conocimiento del sistema, podría pasar probablemente su vida entera que intentaba agrietar el DES y nunca ser acertado. Conseguir eso en perspectiva apropiada, aquí es una estimación del National Institute of Standards and Technology:
El algoritmo criptográfico [ DES ] transforma un valor binario 64-bit en un valor binario 64-bit único basado en una variable 56-bit. Si se utiliza la entrada 64-bit completa (es decir, ningunos de los pedacitos de la entrada se deben predeterminar de bloque al bloque) y si la variable 56-bit se elige aleatoriamente, ninguna técnica con excepción de intentar todas las llaves posibles usar la entrada y la salida sabidas para el DES garantiza encontrar la llave elegida. Pues hay más de 70.000.000.000.000.000 (el quadrillion setenta) llaves posibles de 56 pedacitos, la viabilidad de derivar una llave particular de esta manera es extremadamente inverosímil en ambientes típicos de la amenaza.
Uno pudo pensar que el DES es enteramente infalible. No es. Aunque la información no puede reverso-ser codificada, las contraseñas cifradas vía el DES se pueden revelar con un proceso comparativo. El proceso trabaja como sigue:
1. Usted obtiene un archivo de diccionario, que no es realmente no más que una lista del fichero "plano" (texto llano) de las palabras (designadas comúnmente listas de palabras).
2. Se cifran estas palabras usando el DES.
3. Cada palabra cifrada se compara a la contraseña de la blanco. Si un fósforo ocurre, hay una ocasión del 98% que la contraseña era agrietada.
El proceso sí mismo es simple y brainless, con todo absolutamente eficaz. Sin embargo, los programas contraseña-que se agrietan hechos para este propósito son miden el tiempo a menudo poco de más listo. Por ejemplo, el tal agrietarse programa a menudo el tema cada palabra a una lista de reglas.
Una regla podría ser cualquier cosa, cualquier manera de la cual una palabra pudiera aparecer. Las reglas típicas pudieron incluir
· Deletreado mayúsculo y minúsculo alterno.
· Adelante y después deletree la palabra al revés y después funda los dos resultados (por ejemplo, la lata se convierte en cannac).
· Agregue el número 1 al principio o al final de cada palabra.
Naturalmente, cuanto más reglas que usted aplica, el proceso que se agrieta dura. Sin embargo, más reglas también garantizan una probabilidad más alta del éxito por un número de razones:
· El sistema de ficheros de UNIX es caso sensible (el SITIO DE TRABAJO se interpreta diferentemente que es el sitio de trabajo o el sitio de trabajo).
· Alternar letras y los números en contraseñas es una práctica común.
Las galletas de la contraseña han tenido un enorme impacto en seguridad del Internet, principalmente porque son tan eficaces:
La cripta utiliza la resistencia del DES al ataque llano sabido del texto y la hace [ sic ] de cómputo irrealizable determinar la contraseña original que produjo una contraseña cifrada dada por búsqueda exhaustiva. La única técnica público sabida que puede revelar ciertas contraseñas es contraseña que conjetura: pasando las listas de palabras grandes a través de la cripta funcionan para ver si cualquier fósforo las entradas cifradas de la contraseña en/etc/passwd archiva. Nuestra experiencia es que este tipo de ataque es acertado a menos que las medidas explícitas se tomen para frustrarlo. Encontramos generalmente 30 por ciento de las contraseñas en sistemas previamente sin garantía.
los programas Contraseña-que se agrietan están mejorando en su eficacia, también. Los más nuevos programas incorporan reglas más extensas y listas de palabras diversas. La mayoría de las listas de palabras son archivos de texto llanos con una palabra por línea. Estos archivos se extienden de tamaño de 1MB más que 20MB. Muchas listas de palabras están disponibles en el Internet; vienen en una variedad amplia de idiomas (así que una galleta americana de habla inglesa puede agrietar una máquina italiana, y viceversa).
Online: 278 users browsing the articles directory
. |