В криптоанализа и компьютерной безопасности , атака по словарю является формой грубой силы атаки техники для победы над шифра или аутентификации механизм, пытаясь определить его ключ дешифрования или ключевую фразу , пытаясь тысячи или миллионы вероятных возможностей [1] , такие , как слова в словарь или ранее использованные пароли , часто из списков, полученных в результате прошлых нарушений безопасности. [2]
Техника
Атака по словарю основана на переборе всех строк в заранее составленном списке. Такие атаки изначально использовали слова, найденные в словаре (отсюда и атака по словарю фраз ); [3] однако сейчас в открытом Интернете доступны гораздо большие списки, содержащие сотни миллионов паролей, восстановленных после прошлых утечек данных. [4] Существует также программа для взлома, которая может использовать такие списки и создавать общие варианты, такие как замена похожих букв цифрами. Атака по словарю проверяет только те возможности, которые считаются наиболее вероятными. Атаки по словарю часто оказываются успешными, потому что многие люди склонны выбирать короткие пароли, которые являются обычными словами или обычными паролями; или варианты, полученные, например, добавлением цифры или символа пунктуации. Атаки по словарю часто бывают успешными, поскольку многие часто используемые методы создания паролей охватываются доступными списками в сочетании с созданием шаблонов программного обеспечения для взлома. Более безопасный подход - произвольно сгенерировать длинный пароль (15 букв и более) или парольную фразу из нескольких слов, используя программу- менеджер паролей или вводя пароль вручную.
Атака по предварительно вычисленному словарю / атака по радужной таблице
Можно достичь компромисса между пространством и временем , предварительно вычислив список хэшей словарных слов и сохранив их в базе данных, используя хэш в качестве ключа . Это требует значительного времени на подготовку, но позволяет быстрее выполнить настоящую атаку. Требования к хранилищу для предварительно вычисленных таблиц когда-то были основной статьей расходов, но теперь они не являются проблемой из-за низкой стоимости дискового хранилища . Атаки по заранее вычисленному словарю особенно эффективны, когда нужно взломать большое количество паролей. Предварительно вычисленный словарь необходимо сгенерировать только один раз, и когда он будет завершен, хэши паролей можно будет найти почти мгновенно в любое время, чтобы найти соответствующий пароль. Более совершенный подход предполагает использование радужных таблиц , которые снижают требования к хранилищу за счет немного большего времени поиска. См. LM-хэш для примера системы аутентификации, скомпрометированной такой атакой.
Атаки по заранее вычисленному словарю, или «атаки с радужной таблицей», могут быть предотвращены с помощью использования соли , метода, который заставляет повторно вычислять словарь хеширования для каждого искомого пароля, что делает невозможным предварительное вычисление, при условии, что количество возможных значений соли равно достаточно большой.
Программное обеспечение для атаки по словарю
Смотрите также
- Сбор адреса электронной почты
- Intercontinental Dictionary Series , лингвистическая онлайн-база данных
- Ключевая деривационная функция
- Ключевое растяжение
- Взлом пароля
- Надежность Пароля
Рекомендации
- ^ Junghyun Nam; Юрион Пайк; Хён-кю Канг; Унг Ким; Донхо Вон (2009-03-01). «Автономная атака по словарю на простой трехсторонний протокол обмена ключами» . Письма связи IEEE . 13 (3): 205–207. DOI : 10,1109 / LCOMM.2009.081609 . ISSN 1089-7798 .
- ^ «Оксфордские языки и Google - английский | Оксфордские языки» . languages.oup.com . Проверено 2 января 2021 .
- ^ Джефф Этвуд. «Атаки по словарю 101» .
- ^ Список CrackStation . например, с более чем 1,4 миллиарда слов.
Внешние ссылки
- RFC 2828 - Глоссарий по безопасности в Интернете
- RFC 4949 - Глоссарий по безопасности в Интернете, версия 2
- Секретная служба США использует распределенную атаку по словарю на пароль подозреваемого, защищающий ключи шифрования
- Тестирование на грубую силу (OWASP-AT-004)