.
As senhas e da "as frases passagem" são usadas para tudo que varia de registrar em terminais a verificar clientes do email, de proteger excel spreadsheets a fixar as chaves do encryption para redes PKI-permitidas da empresa. Seu uso na empresa é difundido, dizer o menos.
Os biscoitos da senha são os programas que ajudam na descoberta de senhas protegidas, geralmente com algum método de supo automatizado. Embora alguns aplicações e equipamento mal projetado do infrastructure cifrem ou codifiquem senhas, a maioria sistemas operando-se e de dispositivos do dia moderno críam uma mistura da senha preferivelmente.
Embora alguns mecanismos pobres do encryption possam fàcilmente ser invertidos, os métodos modernos do hashing do dia são de sentido único—isto é, eles não podem ser invertidos e conseqüentemente o decryption não é uma opção. Embora o uso de algoritmos de sentido único possa soar como uma solução rocha-contínua, faz simplesmente à tarefa na mão pouco mais consumir do tempo. Para circumvent os desafios criados pelo hashing, os biscoitos da senha empregam simplesmente o mesmo algoritmo usado cifrar a senha original. As ferramentas executam a análise comparativa, e tentam-na simplesmente combinar suas suposições com a mistura cifrada original da frase ou da senha.
Muitos biscoitos da senha não são nada mas supondo os motores, os programas que tentam a palavra após a palavra, frequentemente em velocidades elevadas. Estes programas confiam na teoria que eventualmente você encontrará a palavra ou a frase direita. Esta teoria é sadia porque os seres humanos são criaturas preguiçosas. Fazem exame raramente do problema para criar senhas fortes. Entretanto, este shortcoming não é sempre a falha do usuário:
Os usuários são raramente, se sempre, educado a respeito de o que são escolhas sábias para senhas. Se uma senha estiver no dicionário, é extremamente vulnerável a ser rachada, e os usuários não são treinados simplesmente a respeito das escolhas "seguras" para senhas. Daqueles usuários que são assim educados, muitos pensam daquele simplesmente porque sua senha não é em/usr/dict/palavras, ele são seguros da deteção. Muitos usuários dizem também que porque não têm limas confidenciais em linha, não estão concernidos com a segurança de seu cliente, realizando pouco que fornecendo um ponto de entrada ao sistema permitem que os danos sejam feitos em seu sistema inteiro por um biscoito malicioso.
Deve-se anotar, entretanto, que a aproximação crua do "-NÃO-EM-$$$-DICIONÁRIO" agora misleading um tanto também. os dicionários Senha-rachando contêm agora centenas dos milhares de nomes populares, de caráteres, de faixas musicais, de slang, de expletives, e de uma variedade dos termos culturally populares que puderam ou não puderam estar em um dicionário clássico. Nós exploraremos a profundidade e a versatilidade da senha que supõem mais tarde sobre, mas a régua de polegar nova deve evitar junto qualquer tipo da palavra todo. Para o exemplo, "808state" é suposto fàcilmente por a maioria de biscoitos da senha, não somente porque é baseado em uma palavra (estado) e em um número (808), mas também porque é o nome de uma faixa popular fora de Manchester, Inglaterra. Umas senhas mais fortes podem ser criadas usando uma combinação das letras, dos números, e de caráteres estendidos. Os acrônimos trabalham-me maravilhosamente, para o exemplo, "estão tentando aprender rapidamente técnicas da segurança da informação!" podia ser "IT2LISTQ traduzido!". Esta é uma senha MUITO mais dura a supo, mas ser não tudo esse difícil de recordar.
O problema simples da senha é persistente apesar do fato que é fácil fornecer a instrução da senha-segurança. Está confundindo como uma edição de segurança tão crítica (que pode fàcilmente ser dirigida) é negligenciada frequentemente. A edição vai ao núcleo very da segurança:
Explorar senhas doente-escolhidas e pobre-protegidas é um dos ataques os mais comuns na segurança do sistema usada por biscoitos. Quase cada sistema multiuser usa senhas proteger de encontro aos inícios de uma sessão desautorizados, mas comparativamente poucas instalações usam-nos corretamente. O problema é universal na natureza, sistema-nao específico; e as soluções são simples, baratas, e aplicáveis a todo o computador, de qualquer maneira do sistema operando-se ou da ferragem. Podem ser compreendidos por qualquer um, e não faz exame de um administrador ou de um programador de sistemas para executá-los.
Ponta
Um pitfall adicional da senha que é negligenciado freqüentemente é o scenario da sobrecarga da senha. Se os usuários tiverem um multitude das senhas a recordar, há uma possibilidade mais grande que as escreverão para tragar, para usar umas senhas mais fracas, ou introduzir uma variedade da outra senha insecure pratica em seu ambiente. Isto é o lugar onde os sistemas do authentication, os serviços do diretório, e o único-sinal centralizados em soluções podem lhe ajudar. Não somente reduzem custos operando-se e complexidade, ajudam-lhe finalmente com sua postura total da segurança.
A raiz etymological do cryptography da palavra é instructive. As hastes crypto da palavra dos kryptos gregos da palavra. Kryptos descreve qualquer coisa que é escondido, obscurecido, vendado, segredo, ou misterioso. O gráfico da palavra é derivado do graphia, que significa a escrita. Assim, o cryptography é a arte da escrita secreta. Yaman Akdeniz, em seus cryptography e encryption de papel, dá uma definição excelente e concisa do cryptography:
O cryptography, definido como "a ciência e o estudo da escrita secreta," concerne as maneiras em que as comunicações e os dados podem ser codificados para impedir a divulgação de seus índices com eavesdropping ou interception da mensagem, usando códigos, cifras, e outros métodos, de modo que somente determinados povos possam ver a mensagem real.
Um outro método ligeiramente mais complexo deve fazer cada letra transformar-se uma outra letra, baseada em uma operação incremental ou decrescente padrão. Um sistema que trabalha esta maneira é o encoding ROT-13. Em ROT-13, uma letra substitute é usada. Mover 13 letras adiante no alfabeto escolhido deriva a letra substitute.
Este, demasiado, é um método ineficaz de codificar ou de cifrar uma mensagem (embora trabalhou nas épocas roman para Caesar, que usou a desloc--três pela fórmula). Alguns programas identificam rapidamente este teste padrão. Entretanto, isto não significa que as técnicas tais como ROT-13 são inúteis. Eu ilustrarei porque, e no processo, eu posso demonstrar o primeiro ponto importante sobre o encryption:
Todo o formulário do encryption pode ser útil, dado circunstâncias particulares. Estas circunstâncias puderam depender em cima do tempo, a sensibilidade da informação, e de quem você deseja esconder dados.
Ou seja as técnicas tais como ROT-13 podem ser completamente úteis sob as circunstâncias direitas. Está aqui um exemplo: Suponha que um biscoito quer afixar uma técnica rachando nova ao USENET. Está encontrado um furo e quer publicize o quando for ainda exploitable. Para impedir que os specialists da segurança descubram esse furo tão rapidamente quanto os biscoitos, o biscoito usa ROT-13 codificar sua mensagem.
Há um número de organizações que download o tráfego do USENET em uma base por atacado. Nesta maneira, recolhem a informação sobre a comunidade do biscoito. Algumas organizações usam mesmo os motores de busca populares ferret para fora das técnicas do biscoito. Estes motores de busca empregam buscas do regex (expressão regular) (isto é, procuraram pela palavra ou pela frase). Para o exemplo, o partido procurarando incorpora uma combinação das palavras como
· rachadura
· corte
· vulnerability
· façanha
Quando esta combinação das palavras é incorporada corretamente, uma riqueza da informação emerge. Entretanto, se o biscoito usar ROT-13, os motores de busca faltarão o borne. Para o exemplo, a mensagem
Pbqvat da Virgínia EBG-13 do rapbqrq do jnf do zrffntr de Guvf. Obl, fperjl do ybbx do vg do qvq hagvy
haeniryrq vg do jr!
é além do alcance do Search Engine médio. O que olha realmente como é este:
Esta mensagem foi codificada no coding ROT-13. Menino, olhou screwy até
nós unraveled a!
A maioria correio e de newsreader modernos suportam o encoding ROT-13 e a descodificação (o agente livre por Forte é um; O pacote do correio do Netscape Communicator É outro). Outra vez, este é um formulário rudimentary de codificar algo, mas demonstra o conceito. Agora, deixe-nos começam um bocado mais específico.
Hoje, os usuários de informação do Internet funcionam muitos sistemas operando-se diferentes. Entretanto, por muitos anos, UNIX era o único jogo na cidade. O número mais grande de biscoitos da senha foi projetado rachar senhas de UNIX. Deixe-nos começar com UNIX, então, e trabalhe-o nossa maneira para a frente.
Em UNIX, todo o início de uma sessão IDs do usuário e as senhas são armazenados centralmente em qualquer um uma de duas limas: a lima do passwd, encontrada geralmente no diretório/etc., ou uma lima chamaram a sombra, situada também no diretório/etc.. Estas limas contêm vários campos. Daqueles, nós somos concernidos com os dois: o início de uma sessão ID e a senha hashed.
Ponta
Usar da "senhas sombra" é a maneira preferida de armazenar a senha hashes. / etc./lima da sombra é somente acessível pelos serviços do cliente e de sistema da raiz, por ao contrário de/etc./passwd, que é readable por todos. Se você tiver quaisquer sistemas que armazenarem ainda senha hashes em/etc./passwd, promova-os para sombrear senhas ou removê-las o mais cedo possível de seu ambiente.
O início de uma sessão ID é armazenado no texto liso, ou no inglês humana readable. A senha é armazenada no formulário cifrado. O processo do encryption é executado usando Crypt(3), um programa baseado no padrão de encryption de dados (DES).
A IBM desenvolveu a versão a mais adiantada do DES; hoje, é usado em todas as plataformas de UNIX para o encryption da senha. O DES é endossado conjuntamente pelo departamento nacional dos padrões e da agência da segurança nacional. No fato, desde 1977, o DES foi o método geralmente aceitado para proteger dados sensíveis.
O DES foi desenvolvido para proteger certo nonclassified a informação que pôde existir em escritórios federais, como determinada na publicação federal 74 dos padrões processar de informação, guidelines para executar e usar o padrão de encryption de dados de NBS:
Por causa do unavailability da tecnologia cryptographic geral fora da arena da segurança nacional, e porque as provisões da segurança, including o encryption, foram necessitadas nas aplicações unclassified que envolvem os sistemas computatorizados de governo federal, NBS inicíam um programa da segurança do computador em 1973 que incluíram o desenvolvimento de um padrão para o encryption de dados do computador. Porque os padrões federais impactam no setor confidencial, NBS solicited o interesse e a cooperação da indústria e das comunidades de usuário neste trabalho.
A informação sobre o desenvolvimento mecânico original do DES é escassa. Reportedly, no pedido da agência da segurança nacional, a IBM fêz determinados originais classificados. Entretanto, o código de fonte para Crypt(3) (a execução atual do DES em UNIX) está extensamente disponível. Isto é significativo porque em todos os anos que a fonte estêve disponível para o crypt, ninguém encontrou ainda uma maneira reverso-codificar fàcilmente a informação cifrada com ele.
Há diversas versões do crypt, e trabalham ligeiramente diferentemente. No general, entretanto, o processo está como segue:
1. Sua senha é feita exame no texto liso (ou, no jargão cryptographic, no texto desobstruído).
2. Sua senha é usada como uma chave cifrar uma série dos zero (64 em tudo). O texto codificado resultante é consultado depois disso como ao texto da cifra, o código ilegível que os resultados após o texto liso estão cifrados. Este texto da cifra é consultado às vezes como a uma mistura, também, mas aos ajustes do termo somente frouxamente neste caso.
Nota
As funções de sentido único da mistura são usadas freqüentemente como uma alternativa às senhas realmente de criptografia. Usando algoritmos de hashing tais como MD5 ou SHA-1, uma pegada digital pode ser criada da senha que não contem a senha real própria. Isto varia do processo do encryption porque a saída não contem a entrada original em nenhum formulário, e é conseqüentemente impossível derivar a entrada original da saída. Muitos sistemas modernos de UNIX estão movendo-se para o uso de MD5 hashes em vez de confiar no processo do crypt/DES. Se você estiver interessado em técnicas de sentido único do hashing, ou em cryptography no general, cryptography aplicado de Bruce Schneier (John Wiley & filhos, ISBN 0-471-12845-7) é dev-ter.
Determinadas versões do crypt, notàvelmente Crypt(3), fazem exame de etapas adicionais. Para o exemplo, após atravessar este processo, o texto cifrado é cifrado outra vez, épocas numerosas, usando a senha como uma chave. Este é um método razoavelmente forte do encryption; é extremamente difícil quebrar. Estima-se, para o exemplo, que a mesma senha pode ser codificada em 4.096 maneiras diferentes. O usuário médio, sem nenhum conhecimento do sistema, poderia provavelmente gastar sua vida inteira que tenta rachar o DES e nunca ser bem sucedido. Para começar isso no perspective apropriado, é aqui uma estimativa do National Institute of Standards and Technology:
O algoritmo cryptographic [ DES ] transforma um valor binário 64-bit em um valor binário 64-bit original baseado em uma variável 56-bit. Se a entrada 64-bit completa estiver usada (isto é, nenhuns dos bocados da entrada devem ser predeterminados do bloco ao bloco) e se a variável 56-bit for escolhida aleatòria, nenhuma técnica à excepção de tentar todas as chaves possíveis usar a entrada e a saída sabidas para o DES garantirá encontrar a chave escolhida. Porque há mais de 70.000.000.000.000.000 (quadrillion setenta) chaves possíveis de 56 bocados, a praticabilidade de derivar uma chave particular nesta maneira é extremamente improvável em ambientes típicos da ameaça.
Se pôde pensar de que o DES é inteiramente infallible. Não é. Embora a informação não possa reverso-ser codificada, as senhas cifradas através do DES podem ser reveladas com um processo comparativo. O processo trabalha como segue:
1. Você obtem uma lima de dicionário, que não seja realmente não mais do que uma lista da lima lisa (texto liso) das palavras (consultadas geralmente como aos wordlists).
2. Estas palavras são cifradas usando o DES.
3. Cada palavra cifrada é comparada à senha do alvo. Se um fósforo ocorrer, houver uma possibilidade de 98% que a senha era rachada.
O processo próprio é simples e brainless, contudo completamente eficaz. Entretanto, os programas senha-rachando feitos para esta finalidade são cronometram frequentemente pouco um mais inteligente. Para o exemplo, tal rachar programa frequentemente o assunto cada palavra a uma lista das réguas.
Uma régua poderia ser qualquer coisa, toda a maneira em que uma palavra pudesse aparecer. As réguas típicas puderam incluir
· Lettering caixa e lowercase alterno.
· Soletre a palavra para a frente e então para trás e funda então os dois resultados (para o exemplo, a lata se transforma cannac).
· Adicione o número 1 ao começo ou ao fim de cada palavra.
Naturalmente, mais réguas que você aplica, mais por muito tempo o processo rachando faz exame. Entretanto, mais réguas garantem também uma probabilidade mais elevada do sucesso para um número de razões:
· O sistema de lima de UNIX é caso sensível (a ESTAÇÃO DE TRABALHO é interpretada diferentemente do que a estação de trabalho ou a estação de trabalho são).
· Alternar letras e números nas senhas é uma prática comum.
Os biscoitos da senha tiveram um impacto tremendo na segurança do Internet, principalmente porque são assim eficazes:
O crypt usa a resistência do DES ao ataque liso sabido do texto e fá-la [ sic ] computacionalmente unfeasible determinar a senha original que produziu uma senha cifrada dada pela busca exhaustive. A única técnica publicamente sabida que pode revelar determinadas senhas é senha que supõe: passando os wordlists grandes através do crypt funcionam para ver se qualquer fósforo as entradas cifradas da senha no/etc./passwd arquiva. Nossa experiência é que este tipo de ataque é bem sucedido a menos que as etapas explícitas forem feitas exame para thwart o. Geralmente nós encontramos 30 por cento das senhas em sistemas previamente unsecured.
os programas Senha-rachando estão melhorando em sua eficácia, demasiado. Os programas mais novos incorporam umas réguas mais extensivas e wordlists diversos. A maioria de wordlists são limas de texto lisas com uma palavra por a linha. Estas limas variam no tamanho de 1MB a mais do que 20MB. Muitos wordlists estão disponíveis no Internet; vêm em uma variedade larga das línguas (assim que em um biscoito americano english-speaking pode rachar uma máquina italiana, e o versa vice).
Online: 508 users browsing the articles directory
. |