49
मैं लवण और पासवर्ड हैश पर कुछ लेख पढ़ रहा था और कुछ लोग इंद्रधनुष के हमलों का जिक्र कर रहे थे। इंद्रधनुष हमला वास्तव में क्या है और इसे रोकने के लिए सबसे अच्छे तरीके क्या हैं?इंद्रधनुष हमले वास्तव में क्या है?
A
उत्तर
54
विकिपीडिया लेख को समझना थोड़ा मुश्किल है। संक्षेप में, आप इंद्रधनुष तालिका के बारे में सोच सकते हैं कि एक बड़े शब्दकोश के रूप में पूर्व-गणना वाले हैंश और पासवर्ड जिनकी गणना की गई थी।
इंद्रधनुष टेबल्स और अन्य शब्दकोशों के बीच का अंतर बस विधि में संग्रहीत किया जाता है। इंद्रधनुष तालिका को हैश और पासवर्ड के लिए अनुकूलित किया गया है, और इस प्रकार अच्छी लुक-अप गति को बनाए रखने के दौरान इस प्रकार महान स्थान अनुकूलन प्राप्त होता है। लेकिन संक्षेप में, यह सिर्फ एक शब्दकोश है।
जब कोई हमलावर आपके द्वारा पासवर्ड हैश की एक लंबी सूची चुराता है, तो वह जल्दी से जांच सकता है कि उनमें से कोई इंद्रधनुष तालिका में है या नहीं। उन लोगों के लिए, इंद्रधनुष तालिका में भी वे स्ट्रिंग शामिल होगी जो उन्हें से धोया गया था।
बेशक, इंद्रधनुष तालिका में उन्हें स्टोर करने के लिए बहुत सारे हैंश हैं। तो यदि कोई हैश विशेष तालिका में नहीं है, तो हैकर भाग्य से बाहर है। लेकिन यदि आपके उपयोगकर्ता सरल अंग्रेजी शब्दों का उपयोग करते हैं और आपने उन्हें केवल एक बार धोया है, तो बड़ी संभावना है कि एक अच्छी इंद्रधनुष तालिका में पासवर्ड होगा।
15
यह तब होता है जब कोई पासवर्ड को क्रैक करने के लिए Rainbow table का उपयोग करता है।
यदि आप इसके बारे में चिंतित हैं, तो आपको Salt का उपयोग करना चाहिए। वहाँ भी एक Stack Overlow question मदद कर सकता है कि आप एक छोटे से नमक विकिपीडिया की तुलना में बेहतर ढंग से समझने है ...
1
विकिपीडिया अपने दोस्त है:
9
यह रखना व्यक्ति के लिए एक useful article on Rainbow Tables है। (यह सुझाव नहीं दे रहा कि आप एक कर्मचारी हैं, लेकिन यह अच्छी तरह लिखित और संक्षेप में है।)
1
व्यापक रूप से बोलते हुए, आप बड़ी संख्या में संभव सादा सादा टेक्स्ट स्ट्रिंग्स (यानी पासवर्ड के लिए) एन्क्रिप्ट करते हैं, और सादे टेक्स्ट के साथ एन्क्रिप्टेड मानों को स्टोर करते हैं। जब आपके पास एन्क्रिप्टेड मान होता है तो यह सादे टेक्स्ट को देखने के लिए (अपेक्षाकृत) सरल बनाता है।
यह कमजोर और/या अनसाल्टेड पासवर्ड हैश के लिए सबसे उपयोगी है। एक लोकप्रिय उदाहरण LAN Manager hash है, जिसका उपयोग विंडोज़ के संस्करणों द्वारा उपयोगकर्ता के पासवर्ड को स्टोर करने के लिए किया जाता है।
ध्यान दें कि एलएम हैश के रूप में सरल कुछ भी के लिए पूर्व-गणना इंद्रधनुष तालिका बहुत सी जगह लेती है और एक उचित मात्रा में स्थान (गीगाबाइट्स आईआईआरसी के क्रम में) पर कब्जा करने के लिए बहुत सी CPU समय लेती है।
1
इंद्रधनुष सारणी मूल रूप से किसी को बड़ी संख्या में प्रीकंप्यूटेड हैंश को संभवतः स्टोर करने की अनुमति देती है।
यह आपके हैश किए गए पासवर्ड को क्रैक करना आसान बनाता है, क्योंकि हैशिंग फ़ंक्शन का पूरा ढेर करने के बजाय, काम पहले से ही किया जा चुका है और उन्हें लगभग डेटाबेस लुकअप करना है।
इस प्रकार के हमले के खिलाफ सबसे अच्छी सुरक्षा अपने पासवर्ड में नमक (यादृच्छिक वर्ण) का उपयोग करना है। यानी एमडी 5 (पासवर्ड) को स्टोर करने के बजाय, स्टोर एमडी 5 (पासवर्ड + नमक), या यहां तक कि बेहतर एमडी 5 (नमक + एमडी 5 (पासवर्ड))।
इंद्रधनुष सारणी के साथ भी, यह सभी संभव नमकीन हैंशों को स्टोर करने के लिए असंभव होने जा रहा है।
बीटीडब्ल्यू, जाहिर है आपको अपने नमक को अपने हैश के साथ स्टोर करना है ताकि आप उपयोगकर्ता को प्रमाणित कर सकें।
2
पार्टी के लिए देर हो गई लेकिन मुझे इशारा/अनसाल्टेड पासवर्ड पर हमले की विधि होने के कारण इंद्रधनुष टेबल्स के बारे में भी पता था। हालांकि ट्विटर पर हाल ही में http://codahale.com/how-to-safely-store-a-password/ साझा किया गया था और आपकी आवश्यकताओं और चिंताओं के आधार पर .. आप सुरक्षित पासवर्ड संग्रहण के लिए अपना रास्ता नमक नहीं कर पाएंगे।
मुझे आशा है कि यह आपके लिए जानकारीपूर्ण होगा।
संबंधित मुद्दे
- 1. इंद्रधनुष के साथ विम फोल्डिंग
- 2. रेक वास्तव में क्या है?
- 3. # वास्तव में क्या शामिल है?
- 4. वास्तव में PLINQ क्या है?
- 5. वास्तव में @ चयनकर्ता क्या है?
- 6. रॉम वास्तव में क्या है?
- 7. वास्तव में $ RPM_BUILD_ROOT क्या है?
- 8. sun.jnu.encoding वास्तव में क्या है?
- 9. हैश वास्तव में क्या है?
- 10. JSON वास्तव में क्या है?
- 11. डब्ल्यूपीएफ वास्तव में क्या है?
- 12. मेटाप्रोग्रामिंग वास्तव में क्या है?
- 13. क्या जागरूक वास्तव में है?
- 14. LINQ वास्तव में क्या है?
- 15. नोएसक्यूएल वास्तव में क्या है?
- 16. जावा वास्तव में क्या है?
- 17. आईओएस इंद्रधनुष रंग सरणी
- 18. क्या "इंद्रधनुष" रंगरूप से बेहतर रंग स्केल है?
- 19. XSS हमले
- 20. क्या एएसपी.नेट एमवीसी ओरेकल पैडिंग हमले के लिए कमजोर है?
- 21. एसएलईएमई में इंद्रधनुष कोष्ठक कैसे सक्षम करें?
- 22. आरएआर पासवर्ड, इंद्रधनुष टेबल क्यों काम नहीं करते?
- 23. PHP में PATH_INFO वास्तव में क्या है?
- 24. Capistrano में "भूमिका" वास्तव में क्या है?
- 25. वर्तमानडिज़ाइन.writeCssincludes में वास्तव में क्या शामिल है?
- 26. वास्तव में जावा में यह क्या है?
- 27. एसक्यूएलकेमी में मेटाडाटा वास्तव में क्या है?
- 28. जावास्क्रिप्ट में वास्तव में क्या है?
- 29. node.js में नोड वास्तव में क्या है?
- 30. एक्सएसएस हमले को रोकें
हालांकि लोकप्रिय पसंद नहीं है, यही वह है जिसे मैं ढूंढ रहा था। मुझे लवण और पासवर्ड हैश के साथ थोड़ा सा अनुभव है, लेकिन किसी कारण से मैंने आज तक इंद्रधनुष तालिका हमले के बारे में नहीं सुना होगा। इन सभी उत्तरों ने वास्तव में इसे स्पष्ट करने में मदद की। धन्यवाद – Dusty
आपका क्या मतलब है "और आपने उन्हें केवल एक बार धोया है"? मैं आपके पासवर्ड को सलाम करने के मूल्य को समझ सकता हूं, लेकिन मुझे बार-बार उन्हें हर्षित करने में क्या लाभ होता है (जैसा कि मैंने कभी-कभी देखा है)? – Jeach
@Jeach - यह प्रत्येक पासवर्ड की जांच करने के लिए क्रूर बल को धीमा कर देता है, और आपको एक इंद्रधनुष तालिका की आवश्यकता होगी जो कि रिकर्सिव-हैशिंग की सही संख्या के साथ बनाई गई थी। –