.
Le parole d'accesso e "le frasi del passaggio" sono usate per tutto che varia dall'annotare nei terminali a controllare i clienti del email, dalla protezione eccellono i fogli elettronici ad assicurare le chiavi di crittografia per le reti PKI-permesse di impresa. Il loro uso nell'impresa è diffuso, dire il minimi.
I cracker di parola d'accesso sono solitamente programmi che aiutano nella scoperta delle parole d'accesso protette, con un certo metodo di ipotesi automatizzata. Anche se lle certe applicazioni ed attrezzature male progettate dell'infrastruttura cifreranno o metteranno le parole d'accesso in codice, la maggior parte di sistema operativi e dei dispositivi di giorno moderno generano un hash della parola d'accesso preferibilmente.
Anche se alcuni poveri meccanismi di crittografia possono essere invertiti facilmente, i metodi moderni di indirizzamento casuale di giorno sono unidirezionali—cioè non possono essere invertiti e quindi il decryption non è un'opzione. Anche se l'uso delle procedure unidirezionali può suonare come una soluzione roccia-solida, semplicemente rende all'operazione attuale poco un più che richiede tempo. Per aggirare le sfide generate dall'indirizzamento casuale, i cracker di parola d'accesso impiegano semplicemente la stessa procedura usata per cifrare la parola d'accesso originale. Gli attrezzi effettuano l'analisi comparativa e semplicemente provano a abbinare le loro congetture con il hash cifrato originale di parola d'accesso o di frase.
Molti cracker di parola d'accesso sono niente ma indovinando i motori, programmi che provano la parola dopo la parola, spesso alle alte velocità. Questi programmi contano sulla teoria che finalmente incontrerete la giusta parola o frase. Questa teoria è sana perché gli esseri umani sono creature pigre. Prendono raramente la difficoltà per generare le parole d'accesso forti. Tuttavia, questa imperfezione non è sempre il difetto dell'utente:
Gli utenti sono raramente, se mai, istruito quanto a che cosa sono scelte saggie per le parole d'accesso. Se una parola d'accesso è nel dizionario, è estremamente vulnerabile ad essere cracked e gli utenti non sono istruiti semplicemente quanto alle scelte "sicuri" per le parole d'accesso. A quegli utenti che sono così istruiti, molti pensano semplicemente quello perché la loro parola d'accesso non è in/usr/dict/parole, esso sono sicuri da rilevazione. Molti utenti inoltre dicono che perché non hanno lime riservate in linea, non sono interessati della sicurezza del loro cliente, poco rendentesi conto che fornendo un punto di entrata al sistema permettono che danni siano modellati sul loro intero sistema da un cracker cattivo.
Dovrebbe essere notato, tuttavia, che il metodo grezzo "del Esso-non-in-$$$-DIZIONARIO" ora sta fuorviando piuttosto pure. i dizionari Parola d'accesso-spezzantesi ora contengono le centinaia delle migliaia dei nomi popolari, dei caratteri, delle fasce musicali, dello slang, dei expletives e di un assortimento dei termini culturalmente popolari che potrebbero o non potrebbero essere in un dizionario classico. Esploreremo la profondità e la versatilità della parola d'accesso che indovinano più tardi, ma la nuova regola pratica deve evitare insieme qualunque genere di parola tutto. Per esempio, "808state" è indovinato facilmente dalla maggior parte dei cracker di parola d'accesso, non soltanto perché è basato su una parola (dichiari) e su un numero (808), ma anche perché è il nome di una fascia popolare da Manchester, Inghilterra. Le parole d'accesso più forti possono essere generate usando una combinazione delle lettere, dei numeri e dei caratteri estesi. Le sigle funzionano meravigliosamente, per esempio, "sto provando ad imparare rapidamente le tecniche di sicurezza delle informazioni!" ha potuto essere "IT2LISTQ tradotto!". Ciò è una parola d'accesso MOLTO più dura da indovinare, ma essere non tutta quel difficile ricordarsi di.
Il problema semplice di parola d'accesso è persistente malgrado il fatto che sia facile da fornire la formazione di parola d'accesso-sicurezza. Sta imbarazzando come così problema di sicurezza critico (che può essere indirizzato facilmente) è trascurato spesso. L'edizione va al nucleo stesso di sicurezza:
Lo sfruttamento delle parole d'accesso malato-scelte e scarso-protette è uno degli attacchi più comuni a sicurezza del sistema usata dai cracker. Quasi ogni sistema multiutente usa le parole d'accesso per proteggere dagli inizio attività non autorizzati, ma comparativamente poche installazioni li usano correttamente. Il problema è universale in natura, non system-specifico; e le soluzioni sono semplici, economiche ed applicabili a tutto il calcolatore, con noncuranza del sistema operativo o dei fissaggi. Possono essere capite da chiunque e non prende un coordinatore o un programmatore di sistemi per effettuarlo.
Punta
Un trabocchetto supplementare di parola d'accesso che è trascurato frequentemente è il piano d'azione di sovraccarico di parola d'accesso. Se gli utenti hanno un gran numero di parole d'accesso da ricordarsi di, ci è una probabilità più grande che le scriveranno per scolarsi, usare le parole d'accesso più deboli, o introdurre un assortimento dell'altra parola d'accesso insicura si esercita in nel vostro ambiente. Ciò è dove i sistemi di autenticazione, i servizi dell'indice ed il singolo-segno centralizzati sulle soluzioni possono aiutarli. Riducono non soltanto i costi di gestione e complessità, infine li aiutano con la vostra posizione generale di sicurezza.
La radice etymological del cryptography di parola è istruttiva. La parola crypto proviene dai kryptos greci di parola. Kryptos descrive qualche cosa che sia nascosto, oscurato, velare, segreto, o mysterious. Il grafico di parola è derivato dal graphia, che significa la scrittura. Quindi, il cryptography è l'arte di scrittura segreta. Yaman Akdeniz, nel suoi cryptography e crittografia di carta, dà una definizione eccellente e concisa del cryptography:
Il cryptography, definito come "la scienza e lo studio su scrittura segreta," interessa i sensi in cui le comunicazioni ed i dati possono essere messi per impedire la rilevazione del loro soddisfare con ascoltare di nascosto o l'intercettazione del messaggio, usando i codici, le cifre ed altri metodi, di modo che soltanto determinata gente può vedere il messaggio reale.
Un altro metodo un po'più complesso deve fare ogni lettera transformarsi in in un'altra lettera, basata su un funzionamento incrementale o decrescente standard. Un sistema che funziona questo senso è la codifica ROT-13. In ROT-13, una lettera sostitutiva è usata. Lo spostamento delle 13 lettere avanti nell'alfabeto scelto deriva la lettera sostitutiva.
Ciò, anche, è un metodo inefficace di cifratura o della cifratura del messaggio in codice (anche se ha funzionato nei periodi romani per Caesar, che ha usato la a spost--tre dalla formula). Alcuni programmi identificano rapidamente questo modello. Tuttavia, questo non significa che le tecniche quale ROT-13 sono inutili. Illustrerò perchè e nel processo, posso dimostrare il primo punto importante circa la crittografia:
Tutta la forma della crittografia può essere utile, dato le circostanze particolari. Queste circostanze potrebbero dipendere da tempo, la sensibilità delle informazioni e da chi desiderate nascondere i dati.
Cioè le tecniche quale ROT-13 possono essere abbastanza utili in giuste circostanze. Qui è un esempio: Supponga che un cracker desidera inviare una nuova tecnica spezzantesi al USENET. È trovato un foro e desidera divulg mentre è ancora utilizzabile. Per impedire agli esperti di sicurezza di scoprire quel foro rapidamente quanto i cracker, il cracker usa ROT-13 per mettere il suo messaggio in codice.
Ci sono un certo numero di organizzazioni che trasferiscono il traffico dal sistema centrale verso i satelliti di USENET su una base all'ingrosso. In questo modo, riuniscono le informazioni sulla Comunità del cracker. Alcune organizzazioni persino utilizzano i motori di ricerca popolari per ferret verso l'esterno le tecniche del cracker. Questi motori di ricerca impiegano le ricerche del regex (espressione normale) (cioè cercano dalla parola o dalla frase). Per esempio, il partito di ricerca fornisce una combinazione delle parole come
· crepa
· incisione
· vulnerabilità
· impresa
Quando questa combinazione delle parole è inserita correttamente, una ricchezza delle informazioni emerge. Tuttavia, se il cracker usa ROT-13, i motori di ricerca mancheranno l'alberino. Per esempio, il messaggio
Pbqvat della Virginia EBG-13 del rapbqrq del jnf dello zrffntr di Guvf. Obl, fperjl del ybbx del vg del qvq hagvy
haeniryrq vg del jr!
è oltre l'estensione del Search Engine medio. A che cosa realmente assomiglia è questo:
Questo messaggio è stato messo nella codificazione ROT-13. Ragazzo, è sembrato screwy fino a
unraveled esso!
La maggior parte di posta e dei newsreader moderni sostengono la codifica ROT-13 e la decodificazione (l'agente libero da Forte è uno; Il pacchetto della posta del Netscape Communicator È un altro). Di nuovo, questa è una forma rudimentale di cifratura della qualcosa in codice, ma dimostra il concetto. Ora, lascili ottengono una punta più specifica.
Oggi, gli assistenti di informazioni del Internet operano molti sistemi operativi differenti. Tuttavia, per molti anni, UNIX era l'unico gioco in città. Il numero più grande di cracker di parola d'accesso è stato destinato per spezzare le parole d'accesso di UNIX. Iniziamo con UNIX, allora e funzioni il nostro senso in avanti.
In UNIX, tutte le identificazioni di inizio attività dell'utente e parole d'accesso centralmente sono immagazzinate in uno una di due lime: la lima del passwd, trovata solitamente nell'indice/ecc, o una lima ha denominato l'ombra, anche situata nell'indice/ecc. Queste lime contengono i vari campi. Di quelli, ci preoccupiamo di due: l'identificazione di inizio attività e la parola d'accesso hashed.
Punta
Usando "le parole d'accesso dell'ombra" è il senso preferito di immagazzinare la parola d'accesso hashes. / ecc/lima dell'ombra è soltanto accessibile dai servizi di cliente e di sistema della radice, da in contrasto con/ecc/passwd, che è leggibile da tutto. Se avete qualunque sistemi che ancora stanno immagazzinando parola d'accesso hashes in/ecc/passwd, aggiornili per ombreggiare le parole d'accesso o rimuoverli appena possibile dal vostro ambiente.
L'identificazione di inizio attività è immagazzinata nel testo normale, o nell'inglese umanemente leggibile. La parola d'accesso è immagazzinata nella forma cifrata. Il processo di crittografia è realizzato usando Crypt(3), un programma basato sul campione di crittografia di dati (DES).
L'IBM ha sviluppato la versione più iniziale del DES; oggi, è usato su tutte le piattaforme di UNIX per la crittografia di parola d'accesso. Il DES è firmato insieme dall'ufficio nazionale dei campioni e dell'agenzia di sicurezza nazionale. Infatti, dal 1977, il DES è stato il metodo generalmente accettato per salvaguardare i dati sensibili.
Il DES è stato sviluppato per proteggere sicuro nonclassified le informazioni che potrebbero esistere in uffici federali, come disposto in pubblicazione federale 74, guida di riferimento di campioni di elaborazione dell'informazione per effettuare ed usando il campione di crittografia di dati di NBS:
A causa dell'indisponibilità di tecnologia crittografica generale fuori dell'arena di sicurezza nazionale e perché le disposizioni di sicurezza, compreso la crittografia, sono stato necessarie nelle applicazioni non classificate che coinvolgono i sistemi di elaborazione di governo federale, NBS iniziano un programma di sicurezza del calcolatore in 1973 che hanno incluso lo sviluppo di un campione per la crittografia di dati del calcolatore. Poiché i campioni federali hanno effetto su sul settore privato, NBS ha sollecitato l'interesse e la cooperazione di industria e delle associazioni di utenti in questo lavoro.
Le informazioni sullo sviluppo meccanico originale del DES sono limitate. Secondo come riferito, alla richiesta dell'agenzia di sicurezza nazionale, l'IBM ha fatto determinati documenti classificati. Tuttavia, il codice sorgente per Crypt(3) (l'esecuzione corrente del DES in UNIX) è ampiamente disponibile. Ciò è significativa perché durante tutti gli anni che la fonte è stata disponibile per la cripta, nessuno ancora ha trovato un senso d'inversione-mettere facilmente le informazioni in codice cifrate con esso.
Ci sono parecchie versioni della cripta e funzionano un po'diversamente. In generale, tuttavia, il processo è come segue:
1. La vostra parola d'accesso è presa in testo normale (o, in gergo crittografico, testo libero).
2. La vostra parola d'accesso è usata come una chiave per cifrare una serie di zeri (64 in tutto). Il testo messo risultante da allora in poi si riferisce a come testo di cifra, il codice illeggibile che i risultati dopo testo normale è cifrato. Questo testo di cifra a volte si riferisce a come hash, pure, ma il termine si adattare soltanto senza bloccare in questo caso.
Nota
Le funzioni unidirezionali del hash sono usate frequentemente come alternativa alle parole d'accesso realmente di cifratura. Usando le procedure di indirizzamento casuale quali MD5 o SHA-1, un'orma digitale può essere generata della parola d'accesso che non contiene la parola d'accesso reale in se. Ciò varia dal processo della crittografia perché l'uscita non contiene l'input originale in alcuna forma ed è quindi impossible da derivare l'input originale dall'uscita. Molti sistemi moderni di UNIX stanno muovendosi verso l'uso di MD5 hashes invece di contare sul processo della cripta/DES. Se siete interessati nelle tecniche unidirezionali di indirizzamento casuale, o in cryptography in generale, il cryptography applicato di Bruce Schneier (John Wiley & figli, ISBN 0-471-12845-7) siete un dov-.
Determinate versioni della cripta, considerevolmente Crypt(3), prendono le misure supplementari. Per esempio, dopo avere passato con questo processo, il testo cifrato è cifrato di nuovo, periodi numerosi, usando la parola d'accesso come chiave. Ciò è un metodo ragionevolmente forte di crittografia; è estremamente difficile da rompersi. È valutato, per esempio, che la stessa parola d'accesso può essere messa in 4.096 sensi differenti. L'utente medio, senza alcuna conoscenza del sistema, potrebbe probabilmente spendere la sua intera vita che prova a spezzare il DES e mai a riuscire. Ottenere quello nella prospettiva adeguata, qui è una valutazione dal National Institute of Standards and Technology:
La procedura crittografica [ DES ] trasforma un valore binario 64-bit in un valore binario 64-bit unico basato su una variabile 56-bit. Se l'input 64-bit completo è usato (cioè, nessun delle punte dell'input dovrebbero essere predeterminate dal blocco al blocco) e se la variabile 56-bit è scelta a caso, nessuna tecnica tranne provare tutte le chiavi possibili usando l'input e l'uscita conosciuti per il DES garantirà l'individuazione della chiave scelta. Poichè ci sono più di 70.000.000.000.000.000 (quadrillion settanta) chiavi possibili di 56 bit, la possibilità di derivare una chiave particolare in questo modo è estremamente improbabile negli ambienti tipici di minaccia.
Si potrebbe pensare che il DES fosse interamente infallibile. Non è. Anche se le informazioni non possono d'inversione-essere messe, le parole d'accesso cifrate via il DES possono essere rivelate con un processo comparativo. Il processo funziona come segue:
1. Ottenete un archivio dizionario, che è realmente nient'altro di una lista della lima piana (testo normale) delle parole (citate comunemente come liste delle parole).
2. Queste parole sono cifrate usando il DES.
3. Ogni parola cifrata è confrontata alla parola d'accesso dell'obiettivo. Se un fiammifero accade, ci è una probabilità di 98% che la parola d'accesso era cracked.
Il processo in se è sia semplice che brainless, tuttavia abbastanza efficace. Tuttavia, i programmi parola d'accesso-spezzantesi fatti a questo fine sono spesso cronometra poco un più intelligente. Per esempio, tale spezzarsi programma spesso l'oggetto ogni parola ad una lista delle regole.
Una regola potrebbe essere qualche cosa, tutto il modo in cui una parola potrebbe comparire. Le regole tipiche hanno potuto includere
· Iscrizione maiuscola e minuscola alternata.
· In avanti ed allora ortografi la parola indietro ed allora fonda i due risultati (per esempio, la latta si transforma in in cannac).
· Aggiunga il numero 1 all'inizio o alla conclusione di ogni parola.
Naturalmente, più regole che applicate, più lungamente il processo spezzantesi prende. Tuttavia, più regole inoltre garantiscono un'più alta probabilità di successo per un certo numero di motivi:
· Il sistema di lima di UNIX è caso sensibile (STAZIONE DI LAVORO è interpretata diversamente che la stazione di lavoro o la stazione di lavoro è).
· Alternare le lettere e numeri nelle parole d'accesso è una pratica corrente.
I cracker di parola d'accesso hanno avuti un effetto tremendo su sicurezza del Internet, principalmente perché sono così efficaci:
La cripta usa la resistenza del DES all'attacco normale conosciuto del testo e la rende [ sic ] informaticamente difficile determinare la parola d'accesso originale che ha prodotto una data parola d'accesso cifrata dalla ricerca esauriente. L'unica tecnica pubblicamente conosciuta che può rivelare determinate parole d'accesso è parola d'accesso che indovina: passando le grandi liste delle parole attraverso la cripta funzionano per vedere se qualunque fiammifero le entrate cifrate di parola d'accesso in/ecc/passwd archivia. La nostra esperienza è che questo tipo di attacco riesce a meno che le misure esplicite siano prese per contrastarle. Troviamo generalmente 30 per cento delle parole d'accesso sui sistemi precedentemente non garantiti.
i programmi Parola d'accesso-spezzantesi stanno migliorando nella loro efficacia, anche. I più nuovi programmi incorporano le regole più vaste e le liste delle parole varie. La maggior parte delle liste delle parole sono lime di testo normali con una parola per la linea. Queste lime variano nel formato da 1MB a più di 20MB. Molte liste delle parole sono disponibili sul Internet; vengono in un'ampia varietà di lingue (in modo da in un cracker americano anglofono può spezzare una macchina italiana e viceversa).
Online: 282 users browsing the articles directory
. |