Tuzlar neden sözlük saldırılarını 'imkansız' kılıyor?

Güncelleme: Tuzun ne olduğunu, gökkuşağı tablosunun ne olduğunu, sözlük saldırısının ne olduğunu veya tuzun amacının ne olduğunu sormadığımı lütfen unutmayın. Sorguluyorum: Kullanıcıların tuz ve karma değerlerini biliyorsanız, şifrelerini hesaplamak oldukça kolay değil mi?

Süreci anlıyorum ve bazı projelerimde kendim uyguluyorum.

s =  random salt
storedPassword = sha1(password + s)

Depoladığınız veritabanında:

username | hashed_password | salt

Gördüğüm her tuzlama uygulaması, tuzu şifrenin sonuna veya başlangıcına ekler:

hashed_Password = sha1(s + password )
hashed_Password = sha1(password + s)

Bu nedenle, tuzuna (ha ha) değecek bir hacker tarafından yapılan bir sözlük saldırısı, her bir anahtar kelimeyi yukarıda listelenen ortak kombinasyonlarda depolanan tuzlara karşı çalıştırır.

Elbette yukarıda açıklanan uygulama, temeldeki sorunu gerçekten çözmeden, bilgisayar korsanı için başka bir adım daha ekliyor? Bu sorunu aşmak için ne gibi alternatifler var, yoksa sorunu yanlış mı anlıyorum?

Yapmayı düşünebildiğim tek şey, tuz ve şifreyi rastgele bir düzende birbirine bağlayan veya karma işlemine başka kullanıcı alanları ekleyen gizli bir karıştırma algoritmasına sahip olmaktır; bu, bilgisayar korsanının veritabanına ve dantel için koda erişmesi gerektiği anlamına gelir. bir sözlük saldırısının verimli olduğunu kanıtlamak için. (Güncelleme, yorumlarda belirtildiği gibi, bilgisayar korsanının tüm bilgilerinize erişebileceğini varsaymak en iyisidir, bu yüzden muhtemelen en iyisi bu değildir).

Bir bilgisayar korsanının bir kullanıcı veritabanını bir şifre ve karma listesiyle nasıl hackleyeceğini önerdiğime bir örnek vereyim:

Saldırıya uğramış veritabanımızdaki veriler:

RawPassword (not stored)  |  Hashed   |     Salt
--------------------------------------------------------
letmein                       WEFLS...       WEFOJFOFO...

Ortak şifre sözlüğü:

   Common Password
   --------------
   letmein
   12345
   ...

Her kullanıcı kaydı için ortak şifreleri döngüye alın ve hashing yapın:

for each user in hacked_DB

    salt = users_salt
    hashed_pw = users_hashed_password

    for each common_password

        testhash = sha1(common_password + salt)
        if testhash = hashed_pw then
           //Match!  Users password = common_password
           //Lets visit the webpage and login now.
        end if

    next

next

Umarım bu benim açımdan çok daha iyi anlaşır.

10.000 ortak şifre ve 10.000 kullanıcı kaydı göz önüne alındığında, olabildiğince çok kullanıcı şifresini keşfetmek için 100.000.000 karma hesaplamamız gerekir. Birkaç saat sürebilir, ancak bu gerçekten bir sorun değil.

Çatlama Teorisi Üzerine Güncelleme

SHA1 karma ve tuzlarından oluşan bir veritabanına ve bunları harmanlamak için kullandığınız algoritmaya erişen bozuk bir web barındırıcısı olduğumuzu varsayacağız. Veritabanında 10.000 kullanıcı kaydı bulunmaktadır.

Bu site , GPU'yu kullanarak saniyede 2.300.000.000 SHA1 karmasını hesaplayabildiğini iddia ediyor. (Gerçek dünyada durum muhtemelen daha yavaş olacaktır, ancak şimdilik bu alıntılanan rakamı kullanacağız).

(((95 ^ 4) / 2300000000) / 2) * 10000 = 177 saniye

Maksimum 4 karakter uzunluğunda, hesaplama oranına (değişken) bölünen 95 yazdırılabilir ASCII karakterlik bir dizi göz önüne alındığında, 2'ye bölünür (ortalama şifre keşfetme süresinin ortalama olarak% 50 permütasyon gerektireceği varsayılırsa) 10.000 uzunluğu <= 4 olan kullanıcıların tüm kullanıcı şifrelerini hesaplaması 177 saniye sürer.

Gerçekçilik için biraz ayarlayalım.

(((36 ^ 7) / 1000000000) / 2) * 10000 = 2 gün

Şifre uzunluğu <= 7 olan, büyük / küçük harf duyarlılığı olmadığı varsayılırsa, 10.000 kullanıcı kaydını çözmek 4 gün sürer ve genel ve ideal olmayan durumu yansıtmak için algoritmanın hızını yarıya indirdim.

Bunun doğrusal bir kaba kuvvet saldırısı olduğunu, tüm hesaplamaların birbirinden bağımsız olduğunu ve bu nedenle birden fazla sistemin çözmesi için mükemmel bir görev olduğunu kabul etmek önemlidir. (IE, yürütme süresinin yarısı kadar farklı uçlardan saldırı çalıştıran 2 bilgisayar kurması kolaydır).

Bu görevi hesaplama açısından daha pahalı hale getirmek için bir parolaya 1000 kez yinelemeli hashing uygulandığında:

(((36 ^ 7) / 1000000000) / 2) * 1000 saniye = 10,8839117 saat

Bu, bir kullanıcı için alıntılanan rakamın yarısından daha düşük bir hızda maksimum 7 alfasayısal karakter uzunluğunu temsil eder. .

Yinelemeli olarak 1000 kez karma oluşturma, bir örtülü saldırıyı etkili bir şekilde engeller, ancak kullanıcı verilerine yönelik hedeflenen saldırılar yine de savunmasızdır.

Evet, sha1 (salt | password) için sadece 3 güne ihtiyacınız var. Bu nedenle iyi parola depolama algoritmaları 1000 yinelemeli karma kullanır: 8 yıla ihtiyacınız olacak.

Sözlük saldırılarını durdurmaz.

Yaptığı şey, parola dosyanızın bir kopyasını almayı başaran birinin , şifrelerin karmalardan ne olduğunu anlamak için gökkuşağı tablosu kullanmasını engellemektir.

Sonunda, yine de kaba kuvvetle zorlanabilir. Bu bölümün cevabı, kullanıcılarınızı sözlük kelimelerini şifre olarak kullanmamaya zorlamaktır (örneğin, en az bir sayı veya özel karakter için minimum gereksinimler).

Güncelleme :

Bundan daha önce bahsetmeliydim, ancak bazı (çoğu?) Şifre sistemleri her şifre için farklı bir şifre kullanıyor ve muhtemelen şifrenin kendisiyle birlikte saklanıyor. Bu, tek bir gökkuşağı masasını işe yaramaz hale getirir. UNIX şifreleme kitaplığı böyle çalışır ve modern UNIX benzeri işletim sistemleri bu kitaplığı yeni karma algoritmalarla genişletmiştir.

GNU şifresinin daha yeni sürümlerine SHA-256 ve SHA-512 desteğinin eklendiğini biliyorum.

Daha kesin olmak gerekirse, bir sözlük saldırısı , yani kapsamlı bir listedeki tüm kelimelerin denendiği bir saldırı "imkansız" olmaz, ancak pratik olmaz : her bir tuz parçası, gereken depolama ve hesaplama miktarını ikiye katlar .

Bu, tuzun gizli olup olmadığının önemli olmadığı gökkuşağı tablolarını içeren saldırılar gibi önceden hesaplanmış sözlük saldırılarından farklıdır.

Örnek: 64 bitlik bir tuzla (yani 8 bayt) , sözlük saldırınızda 2 ⁶⁴ ek şifre kombinasyonunu kontrol etmeniz gerekir . 200.000 kelimeden oluşan bir sözlük ile yapmanız gerekecek

200.000 * 2 ⁶⁴ = 3.69 * 10 ²⁴

en kötü durumda test - tuzsuz 200.000 test yerine.

Salt kullanmanın ek bir yararı da, bir saldırganın parola karmalarını sözlüğünden önceden hesaplayamamasıdır. Çok fazla zaman ve / veya alan gerektirir.

Güncelleme

Güncellemeniz, bir saldırganın tuzu zaten bildiğini (veya çaldığını) varsayar. Bu elbette farklı bir durum. Yine de saldırganın önceden hesaplanmış bir gökkuşağı tablosu kullanması mümkün değildir. Burada çok önemli olan, hashing fonksiyonunun hızıdır. Bir saldırıyı uygulanamaz hale getirmek için, karma işlevinin yavaş olması gerekir. MD5 veya SHA burada iyi adaylar değil çünkü hızlı olacak şekilde tasarlandılar, karma algoritmalar için daha iyi adaylar Blowfish veya bazı varyasyonları.

Güncelleme 2

Genel olarak parola karmalarınızın güvenliğini sağlama konusunda iyi bir okuma (orijinal sorunun çok ötesine geçmesine rağmen yine de ilginç):

Rainbow Tabloları Yeterince: Güvenli Şifre Planları Hakkında Bilmeniz Gerekenler

Makalenin doğal sonucu: Karma oluşturmayı yavaşlatmak için yapılandırılabilir bir kurulum süresi kullanmanıza izin veren , bcrypt (Blowfish'e dayalı) veya Eksblowfish ile oluşturulmuş tuzlu karmalar kullanın .

Sözlük, değerlerin anahtarlar tarafından indekslendiği bir yapıdır. Önceden hesaplanmış sözlük saldırısı durumunda, her anahtar bir karmadır ve karşılık gelen değer, karma ile sonuçlanan bir paroladır. Elinde önceden hesaplanmış bir sözlükle, bir saldırgan oturum açmak için gerekli karmayı üretecek bir parolayı "anında" arayabilir.

Tuzla, sözlüğü saklamak için gereken alan hızla büyür… o kadar hızlı ki, bir şifre sözlüğünü önceden hesaplamaya çalışmak kısa sürede anlamsız hale gelir.

En iyi tuzlar, bir kriptografik rasgele sayı üretecinden rasgele seçilir. Sekiz bayt pratik bir boyuttur ve 16 bayttan fazlası hiçbir amaca hizmet etmez.

Tuz, "saldırganın işini daha sinir bozucu hale getirmekten" çok daha fazlasını yapar. Önceden hesaplanmış sözlüklerin kullanımı gibi tüm bir saldırı sınıfını ortadan kaldırır.

Şifreleri tamamen güvence altına almak için başka bir unsur gereklidir ve bu da "anahtar güçlendirme" dir. Bir tur SHA-1 yeterince iyi değildir: Güvenli bir şifre karma algoritması hesaplama açısından çok yavaş olmalıdır .

Birçok kişi, sonuçları binlerce kez karma işlevine geri besleyen anahtar türetme işlevi olan PBKDF2'yi kullanır . "Bcrypt" algoritması, yavaş olan yinelemeli bir anahtar türetme kullanarak benzerdir.

Hashing işlemi çok yavaş olduğunda, önceden hesaplanmış bir tablo bir saldırgan için gittikçe daha cazip hale gelir. Ancak uygun tuz, bu yaklaşımı bozar.

Yorumlar

Soruya yaptığım yorumlar aşağıdadır.

Tuz olmadan, saldırgan "Güncelleme 2" de gösterilen yöntemi kullanmaz. Önceden hesaplanmış bir tabloda bir arama yapar ve şifreyi O (1) veya O (log n) zamanında (n, aday şifre sayısıdır) alırdı. Tuz bunu engelleyen ve onu "Güncelleme 2" de gösterilen O (n) yaklaşımını kullanmaya zorlayan şeydir.

Bir O (n) atağına düştükten sonra, her denemenin ne kadar süreceğini düşünmemiz gerekir. Anahtar güçlendirme, döngüdeki her denemenin tam bir saniye sürmesine neden olabilir, yani 10.000 kullanıcı üzerinde 10.000 parolayı test etmek için gereken süre 3 günden 3 yıla kadar uzayacaktır ... ve yalnızca 10.000 parolayla sıfırlama olasılığınız yüksektir. o zamandaki şifreler.

Bir saldırganın, PHP'yi değil, kullanabileceği en hızlı araçları kullanacağını göz önünde bulundurmalısınız, bu nedenle, anahtar güçlendirme için 100 yerine binlerce yineleme iyi bir parametre olacaktır. Tek bir parola için karmanın hesaplanması saniyenin büyük bir kısmını almalıdır.

Anahtar güçlendirme, harika parola gizleme algoritmaları oluşturan ("türetilmiş anahtar" "karma" dır), PKCS # 5'ten standart anahtar türetme algoritmaları PBKDF1 ve PBKDF2'nin bir parçasıdır.

StackOverflow'daki pek çok kullanıcı, Jeff Atwood'un gökkuşağı tablolarının tehlikeleri hakkındaki gönderisine bir yanıt olduğu için bu makaleye atıfta bulunuyor. En sevdiğim makale değil, ancak bu kavramları daha ayrıntılı olarak tartışıyor.

Elbette saldırganın her şeye sahip olduğunu varsayarsınız: salt, karma, kullanıcı adı. Saldırganın, kullanıcı tablosunu myprettypony.com fan sitenize bırakan bozuk bir barındırma şirketi çalışanı olduğunu varsayın. Bu şifreleri kurtarmaya çalışıyor çünkü geri dönecek ve midilli hayranlarınızın citibank.com hesaplarında aynı şifreyi kullanıp kullanmadıklarını görecek.

İyi tasarlanmış bir parola şemasıyla, bu adamın herhangi bir parolayı kurtarması imkansız olacaktır .

Tuzlamanın amacı, saldırganın çabasının amortismanını önlemektir.

Tuz içermeyen, tek bir önceden hesaplanmış karma şifre girişleri tablosu (örn. Tüm alfasayısal 5 karakter dizilerinin MD5'i, çevrimiçi bulunması kolay) dünyadaki her veritabanındaki her kullanıcı için kullanılabilir.

Siteye özgü bir tuzla, saldırganın tabloyu kendisi hesaplaması gerekir ve ardından sitenin tüm kullanıcıları üzerinde kullanabilir.

Kullanıcı başına tuz ile, saldırgan bu çabayı her kullanıcı için ayrı ayrı harcamalıdır.

Elbette, bu gerçekten zayıf parolaları doğrudan bir sözlükten korumak için fazla bir şey yapmaz, ancak oldukça güçlü parolaları bu amortismana karşı korur.

Ayrıca - bir önemli nokta daha - KULLANICI'ya özgü bir tuz kullanmak, AYNI şifresine sahip iki kullanıcının tespitini engeller - karmaları eşleşir. Bu yüzden çoğu zaman karma hash'dir (salt + kullanıcı adı + şifre)

Hash'i gizli tutmaya çalışırsanız, saldırgan hash'leri de doğrulayamaz.

Düzenleme - az önce ana noktanın yukarıdaki bir yorumda belirtildiğini fark ettim.

Gökkuşağı sofra saldırılarını önlemek için tuzlar uygulanır. Gökkuşağı tablosu, bir hash'i kendi ifadesine çevirmeyi çok daha basit hale getiren önceden hesaplanmış hash'lerin bir listesidir. Modern bir hashing algoritmamız yoksa, tuzlamanın bir şifre kırmaya yönelik modern bir önleme olarak etkili olmadığını anlamanız gerekir.

Diyelim ki SHA1 ile çalışıyoruz, bu algo ile keşfedilen son açıklardan yararlanıyoruz ve diyelim ki 1.000.000 karma / saniyede çalışan bir bilgisayarımız var, çarpışmayı bulmak 5.3 milyon milyon milyon yıl alacak , yani evet php saniyede 300 çalışabilir, büyük woop, gerçekten önemli değil. Tuzluyor olmamızın nedeni, birisinin tüm yaygın sözlük cümlelerini üretme zahmetine girmesidir (2 ^ 160 kişi, 2007 dönemi istismarlarına hoş geldiniz).

İşte test ve yönetici amacıyla kullandığım 2 kullanıcıyla gerçek bir veritabanı.

RegistrationTime        UserName        UserPass    
1280185359.365591       briang      a50b63e927b3aebfc20cd783e0fc5321b0e5e8b5
1281546174.065087       test        5872548f2abfef8cb729cac14bc979462798d023

Aslında, tuzlama şeması sha1'inizdir (kayıt zamanı + kullanıcı adı). Devam et, bana şifremi söyle, bunlar üretimdeki gerçek şifreler. Hatta orada oturup php'de bir kelime listesi oluşturabilirsiniz. Vahşileş.

Deli değilim, bunun güvenli olduğunu biliyorum. Eğlence uğruna testin şifresitest . sha1(sha1(1281546174.065087 + test) + test) = 5872548f2abfef8cb729cac14bc979462798d023

Sadece bu kullanıcı 27662aee8eee1cb5ab4917b09bdba31d091ab732için tam bir gökkuşağı tablosu oluşturmanız gerekir . Bu, aslında parolalarımın tek bir gökkuşağı tablosu tarafından tehlikeye atılmamasına izin verebileceğim anlamına geliyor, bilgisayar korsanının test için 27662aee8eee1cb5ab4917b09bdba31d091ab732 ve yine f3f7735311217529f2e020468004a2aa5b3dee7f için eksiksiz bir gökkuşağı tablosu oluşturması gerekiyor. Tüm karmalar için 5,3 milyon milyon yıla geri dönün. Sadece 2 ^ 80 karma depolamanın boyutunu düşünün (bu 20 yottabayttan fazladır ), bu olmayacak.

Tuzlamayı asla çözemeyeceğiniz bir hash yapmanın bir yolu olarak karıştırmayın, bu gökkuşağı tablosunun tüm kullanıcı şifrelerinizi çevirmesini engellemenin bir yoludur . Bu teknoloji düzeyinde imkansızdır.

Sözlük saldırısının arkasındaki fikir, bir karma almanız ve bu karmanın hesaplandığı şifreyi, karma hesaplama olmadan bulmanızdır . Şimdi aynısını tuzlu parola için yapın - yapamazsınız.

Salt kullanmamak, şifre aramasını veritabanında aramak kadar kolaylaştırır. Bir tuz eklemek, saldırganın olası tüm şifrelerin karma hesaplamasını gerçekleştirmesini sağlar (sözlüğe ekleme için bile bu, saldırı süresini önemli ölçüde artırır).

En basit terimlerle: tuzlama olmadan, her bir aday şifrenin şifresinin aynı algoritma aracılığıyla karma hale getirildiği "bilinen evrende" (ele geçirilmiş veri tabanları koleksiyonu) herhangi bir yerde her kullanıcıya karşı kontrol edilmesi için yalnızca bir kez karma hale getirilmesi gerekir. Tuzlamada, olası tuz değerlerinin sayısı "bilinen evrendeki" kullanıcı sayısını önemli ölçüde aşarsa, her aday şifrenin test edileceği her kullanıcı için ayrı ayrı hashinglenmesi gerekir.

Basitçe söylemek gerekirse, tuzlama bir hash'in saldırıdan (bruteforce veya sözlük) engellemez, sadece onu zorlaştırır; Saldırganın ya tuzlama algoritmasını bulması (ki bu doğru şekilde uygulanırsa daha fazla yinelemeden yararlanacaktır) ya da algoya kaba kuvvet uygulamalıdır ki bu çok basit olmadığı sürece neredeyse imkansızdır. Tuzlama ayrıca gökkuşağı tablosu arama seçeneğini neredeyse tamamen ortadan kaldırır ...

Tuz, Gökkuşağı sofrasını yapar tek bir şifre karmasının kırılmasını çok daha zor saldırılarını çok daha zor hale getirir. Sadece 1 numaralı korkunç bir şifreniz olduğunu hayal edin. Bir gökkuşağı masa saldırısı bunu hemen çözer.

Şimdi, veritabanındaki her bir şifrenin birçok rastgele karakterden oluşan uzun bir rastgele değerle tuzlandığını hayal edin. Şimdi kötü "1" şifreniz db'de 1 karma değeri artı bir grup rastgele karakter (tuz) olarak saklanır, bu nedenle bu örnekte gökkuşağı tablosunun aşağıdaki gibi bir karma değerine sahip olması gerekir: 1.

Dolayısıyla, tuzunuzun güvenli ve rastgele bir şey olduğunu varsayarsak, örneğin ()% ISLDGHASKLU ( % #% #, hacker'ın gökkuşağı tablosunun 1 * ()% ISLDGHASKLU (*% #% # için bir girişe sahip olması gerekir. Şimdi bir gökkuşağı tablosu kullanıyoruz) Bu basit şifre üzerinde bile artık pratik değil.