パスワードをクラッキングを紹介する

Share

|

パスワードと"パスフレーズ"に使用されるすべての端末をチェックするに至るまでの電子メールアカウントにログインして、 excelスプレッドシートから保護するために暗号化キーを固定して企業ネットワークのpkiが有効になっています。 彼らの企業が広範囲に使用され、控えめに言っています。

パスワードは、クラッカーの検出を支援するプログラムをパスワードで保護、通常の方法をいくつかの推測に自動化されます。 もののいくつかのアプリケーションやインフラ設備が不十分な設計は、エンコードパスワードを暗号化するか、ほとんどの現代のオペレーティングシステムやデバイスを作成するには、パスワードの代わりにハッシュします。

貧しいもののいくつかの暗号化メカニズムを簡単に反転することができ、現代ハッシュメソッドは片道-それは、彼らはできません。このため、逆に復号化という選択肢はない。 ものの片道のアルゴリズムを使用することができ固溶体のような音を岩のように、それだけで、タスクを手にするにはもう少し時間がかかるでしょ。 課題を回避して作成されるハッシュ、パスワードクラッカーだけで同様のアルゴリズムを用いて暗号化して元のパスワードが必要です。 ツールの比較分析を行う、と推測してマッチしようとするだけで、元のフレーズを暗号化またはパスワードハッシュになる。

パスワードクラッカーは、多くの推測に過ぎないエンジン、プログラムしてみてください単語単語の後には、高速で頻繁にします。 これらのプログラムに頼っているという説を最終的に遭遇する権利でしょう単語やフレーズを入力します。 この理論は、健全なため、人間は怠惰な生き物です。 彼らはめったに強力なパスワードを作成するのに苦労します。 しかし、この欠点はいつも、ユーザーのせいではありません：

ほとんどのユーザーは、もしこれまで、教育を受けては、何のためのパスワードは、賢明な選択します。 辞書には、パスワードを入力した場合は、ひびの入っていることが非常に脆弱性、およびユーザーは、単に指導しないように"安全"のためのパスワードを選択します。 利用者は、これらの教育を受けたので、多くのだと思うというだけの理由ではありませんがパスワードでは/ usr /辞書/単語、検出しても安全だからです。 多くのユーザーにも言うことはありませんので、個人ファイル、オンラインでのセキュリティを心配していないのは、それらのアカウントは、ほとんどを実感してエントリポイントを提供することによって、システムにダメージを与えることができるようにして、システム全体を精巧に作られた、悪意のあるクラッカーします。

なければならないことは、しかし、生の" it's -ません。 - - -辞書に"今のやり方はやや誤解を招くようだ。 パスワードクラッキング辞書今人気の数十万人の名前が含まれ、文字、音楽のバンド、スラング、 expletives 、そして文化的に人気の詰め合わせや用語がクラシック辞書であるかもしれませんします。 お客様の深さと汎用性を探る後にパスワードを推測されたが、新たな大雑把を避けるためには、どのような種類の単語を全部まとめています。 たとえば、 " 808state "パスワードクラッカーのほとんどは、簡単に推測され、それに基づいているためだけでなく、単語（の状態）と番号（ 808 ）は、それ以外にも、人気バンドの名前はマンチェスターのうち、イングランドます。 強力なパスワードを作成することができの組み合わせを使用する文字、数字、および拡張された文字です。 頭字語仕事素晴らしく、例えば、 "私は情報セキュリティ技術を迅速にしようとし学ぶ！ " に翻訳される可能性を" it2listq ！ "します。 これは、多くの困難にパスワードを推測するが、難しいことではありませんすべてのを覚えています。

単純なパスワードを1つの問題は、持続的な事実にもかかわらず、それは簡単なパスワードでのセキュリティ教育を提供します。 それはどのように説明のつかないような重大な安全保障上の問題（簡単に対処することができ）はしばしば見落とされます。 この問題が、非常にコアのセキュリティ：

搾取が悪いと病気に選ばれたパスワードで保護さは、世界で最も共通のクラッカーの攻撃は、システムのセキュリティに使用されます。 ほぼすべてのシステムでは、マルチユーザーのパスワードを守る不正ログオンが、比較的少ないのインストールを適切に使用しています。 この問題は普遍的自然の中ではなく特定のシステム;と、単純なソリューションは、低価格、および適用されるすべてのコンピュータにかかわらず、オペレーティングシステム、またはハードウェアです。 誰にも理解させることができ、それはありませんが、システム管理者またはプログラマーを実装しています。

ヒント

パスワードを追加して1つの落とし穴は、パスワードを頻繁に過負荷シナリオは、見落としています。 多くの場合、ユーザーがパスワードを覚えておくには、大きなチャンスを書くことがダウンして、弱いパスワードを使用し、または他の詰め合わせを導入する不安定な環境をお客様のパスワードを慣行します。 これはどこに集中認証システムでは、ディレクトリサービス、およびソリューションシングルサインオンすることができます。 彼らだけでなく運用コストと複雑さを減らす、最終的に彼らの全体的なセキュリティ姿勢をお手伝いしています。

パスワードの暗号化101

暗号化という言葉の語源上のルートには有益だ。 秘密結社という言葉に由来するギリシャ語kryptosます。 kryptos説明しないことは隠され、隠され、ベールに包まれ、秘密、または神秘的です。 グラフには、その言葉から派生しgraphiaが、これは書きました。 このように、暗号化は、アートの秘密を書き込みました。 yaman akdeniz 、彼の紙の暗号化と暗号化、かつ簡潔に優れた暗号化の定義：

暗号化で定義される"科学研究の秘密を書く"との懸念方法で、通信やデータの開示を防ぐためにエンコードすることができ、その内容を盗聴傍受またはメッセージを使用して、コード、暗号、およびその他の方法では、特定のようにのみ人は本物のメッセージを参照しています。

腐れ- 13

少しだけより複雑な別の方法では、各文字になる別の手紙に基づいて、標準的な操作増分または減少します。 この方法では、 1つのシステムで動作する腐れ- 13エンコードします。 で腐れ- 13は、手紙の代わりに使用されます。 移動する13文字を控えて、選択したアルファベットの手紙の代わりに派生しています。

これも、無駄な方法は、エンコーディングまたはメッセージを暗号化する（ただし、それで働いてローマ時代のシーザー、誰を使ってシフトされるフォーミュラ- 3 ） 。 プログラムのいくつかは、このパターンをすばやく特定します。 しかし、このようなテクニックを意味していません腐れ- 13は無用だ。 なぜ私が説明し、その過程で、私の最初の重要な点については実証することができ暗号化：

どんな形で暗号化することができ便利で、特別の事情が与えられます。 このような状況での時間に依存するかもしれない、微妙な情報を提供し、誰よりご希望のデータを非表示にします。

言い換えると、テクニックのような腐れ- 13することができ非常に便利な状況下での右にします。 ここでの例：たいと仮定するクラッカーを投稿するusenetの新しい技術をクラッキングします。 彼の穴を見つけたことを公表したいとの方はまだ悪用します。 スペシャリストを防ぐためのセキュリティホールを発見して、できるだけ早く、クラッカー、クラッカー腐れ- 13を使用したメッセージのエンコードします。

そこには、数多くの団体は、卸売ベースでのトラフィックのusenetダウンロードします。 このように、彼らについての情報を収集するクラッカーのコミュニティです。 いくつかの団体でも人気の高い検索エンジンを使用しクラッカーを探し出す技術です。 これらの検索エンジンを採用する正規表現（正規表現）を検索し（つまり、検索される単語やフレーズを入力）します。 たとえば、検索パーティーのような単語の組み合わせを入力する

スポンジ亀裂

スポンジハック

スポンジの脆弱性

スポンジ搾取

このときの言葉の組み合わせが正しく入力さは、豊富な情報を見られる。 しかし、使用した場合はクラッカー腐れ- 13日、検索エンジンでは、ミス投稿します。 たとえば、メッセージ

  guvf zrffntr jnf rapbqrqバージニア州ebg - 13 pbqvatます。  obl 、 qvq英領バージン諸島ybbx fperjl hagvy 

  jrのhaeniryrq英領バージン諸島！ 

手の届かないのは、平均的な検索エンジンです。 それが本当に何がこのように：

 このメッセージは腐れ- 13コーディングでエンコードされます。 少年は、変な顔になるまでやった 

 私たちunraveledよ！ 

最も近代メールやニュース腐れ- 13のエンコードおよびデコードをサポートします（無料フォルテは、 1つのエージェントを;ネットスケープダウンロードパッケージは、別のメール）します。 また、これは何かの初歩的な形でのエンコードが、それの概念を示しています。 さて、買いましょうよ、もう少し具体的です。

暗号化やデ

今日、インターネットのサーバーの情報を多くの異なるオペレーティングシステムを実行します。 しかし、長年の間、 unixの町での試合だけだったします。 パスワードクラッカーは、数多くのunixのパスワードをクラックするよう設計されます。 始めましょうunix環境では、その後、私たちの仕事の方法や転送します。

unixでは、すべてのユーザーがログインidとパスワードの2つのいずれかを中心に保存されたファイル： passwdファイルは、通常が見つかりましたでは/ etcディレクトリ、またはファイルと呼ばれる影にもあるの/ etcディレクトリにあります。 さまざまな分野で、これらのファイルが含まれます。 これらの、私たちは2つの懸念：ログインidとパスワードをハッシュしています。

ヒント

を使って"シャドーパスワード"は、パスワードハッシュの保存方法を推奨します。 の/ etc / shadowにのみアクセスされるファイルは、 rootアカウントおよびシステムサービス、として反対して/ etc / passwdで、これは誰も読めるされました。 がございましたら、まだ保管しているシステムのパスワードハッシュは/ etc / passwdで、パスワードや影のいずれかにアップグレードしてから削除してお使いの環境できるだけ早くします。

idが保存され、ログインプレーンテキスト、または人事読める英語になります。 フォームに保存され、パスワードは暗号化されます。 暗号化処理が行われ用いたcrypt （ 3 ）は、プログラムに基づいて、データ暗号化規格（デ）します。

ibmの最古のバージョンを開発したデ;今日、それが使用され、すべてのunixプラットフォームのためのパスワードを暗号化します。 デ裏書は事務局が共同で、国家が国家安全保障局基準とします。 実際のところ、 1977年以来、デ広く受け入れられてきた重要なデータを守るための方法です。

デ守るために開発された特定の情報は機密扱いされない連邦政府機関に存在するかもしれない、として定める連邦情報処理規格刊行物74は、実施のためのガイドラインを使用して、データ暗号化規格度量衡基準局：

を利用できないため、暗号技術の外で、国家安全保障全般アリーナ、および安全保障の規定のため、暗号化を含め、必要に応じて分類されてないが連邦政府のコンピュータシステムのアプリケーションを含む、度量衡基準局を開始し、コンピュータのセキュリティプログラムは、 1973年にものを含めて、開発するための標準的なコンピュータデータ暗号化します。 連邦政府の基準に影響を与えるため、民間セクター、度量衡基準局の関心と協力を依頼して業界やユーザーコミュニティで、この作業します。

機械的な情報については、元の開発には、希少デします。 報道には、国家安全保障局の要求に応じて、特定のドキュメントをibmの前に分類されます。 しかし、ソースコードを暗号化（ 3 ） （の現在の実装desをunixの）は、広くご利用いただけます。 これは重要な年にしているため、すべてのソースを利用可能な暗号化され、 1つはまだありませんが見つかりましたエンコードを逆にする方法を簡単に情報を暗号化しています。

暗号化には、いくつかのバージョンでは、彼らと仕事を若干異なります。 全般的に、しかし、その過程は次のとおりです：

1 。 お客様のパスワードがとられ、プレーンテキスト（または、専門用語を暗号化、クリアテキスト）します。

2 。 お客様のパスワードとしても使用され、キーを暗号化するシリーズゼロ（ 64すべて）します。 その結果は、その後のテキストエンコードと呼ばれる暗号テキスト、コードを検索結果の後に、 unreadableプレーンテキストは暗号化されます。 このテキストは、暗号ハッシュともいうとして、でも、しかし、このような場合に合っ用語のみをゆるくします。

注意

- 1つの方法ではよく使われるハッシュ関数の代替手段として実際にパスワードを暗号化します。 ハッシュアルゴリズムを使用するなど、 md5またはsha - 1 、デジタル足跡のパスワードを作成することができ、実際のパスワードそのものが含まれていませんします。 この異なりますので、暗号化の過程で、元の入力出力が含まれていませんどんな形で、それを得ることは不可能なため、元の入力から出力します。 多くの近代の方向に向かっunixシステムの使用をmd5ハッシュあてにする代わりに、暗号化/デ処理します。 興味がある場合は片道ハッシュ技術は、暗号化または全般的に、ブルースシュナイアーの暗号化に適用（ジョンウィリー＆サンズ、コード0-471-12845-7 ）は、なくてはならないします。

特定のバージョンの暗号化、特に暗号化（ 3 ）は、追加の手順を実行します。 たとえば、このプロセスを経て、暗号化したテキストが再び暗号化され、何度も使用して、パスワードとしてキーを押します。 これは、かなり強力な暗号化の方法;を破ることは極めて困難です。 推定することは、例えば、同じパスワードをエンコードすることができ、 4096さまざまな方法があります。 平均的なユーザーは、システムの知識をせずに、彼女の全人生を費やす可能性おそらくdesクラックしようとし、決して成功しました。 適切な視点を取得することで、ここからの推定値の国立標準技術：

暗号化アルゴリズム[デ]に変換し、 64ビットのバイナリ値をユニークな64ビットのバイナリ値に基づいて56ビットの変数です。 もし、完全な64ビットの入力が使用され（ ie 、なしの入力ビットあらかじめ決めなければならないからブロックごと）した場合は56ビットの変数は、無作為に選ばれ、技術以外のすべての可能な鍵を使って既知の入力しようと出力を見つけることを保証するために選ばれたのは、デキーを押します。 そこには、以上の70,000,000,000,000,000 （ 70の24乗）のキーを56ビットの可能性は、特定のキーの可能性を引き出すこの方法では、極めて低い環境での典型的な脅威にします。

1つは、完全に決して誤らないかもしれないと思うデします。 それはありません。 この情報をエンコードすることはできません逆に、パスワードの暗号化デ経由での比較を介してプロセスを明らかにすることができます。 その過程として働いて以下のとおりです：

1 。 辞書ファイルを入手するには、本当にありません以上のフラットファイル（プレーンテキスト）単語のリストを（通常と呼ばれるwordlists ）します。

2 。 これらの言葉は、デ使用して暗号化します。

3 。 暗号化は、それぞれの単語と比較して、ターゲットパスワードが必要です。 マッチが発生した場合には、 98 ％の確率でパスワードがひび割れします。

両方のプロセス自体は単純で愚か、まだ非常に効果的です。 しかし、パスワードクラック用プログラムのために作ったこの目的のためには、しばしば、もう少し気の利いた回だ。 たとえば、頻繁にこのようなクラック用プログラムのリストを各単語の件名ルールがあります。

ルールかもしれない何か、どのような形で表示されているかもしれない単語です。 典型的なルールが含ま

大文字と小文字のスポンジ異なるレタリングします。

単語のスペルスポンジ前方後方そして、その後2つのヒューズの結果（たとえば、ことになるcannac ）します。

スポンジの数を追加し1からの先頭または末尾の各単語のです。

当然のことながら、より多くのルールを適用し、このプロセスには長い割れました。 しかし、より多くのルールにも高い成功の可能性を保証するために、いくつかの理由が考え：

スポンジunixのファイルシステムが大文字と小文字を区別（ワークステーションは解釈が異なったワークステーションまたはワークステーション）します。

スポンジを交互に文字や数字では、共通のパスワードを練習します。

パスワードクラッカーがあったに大きな影響を与えるのインターネットセキュリティソフトウェア、主には非常に効果的なので、 ：

暗号化を使用して抵抗を知らデプレーンテキスト攻撃およびmake [シック]実現不可能な計算することを決定し、元のパスワードを設定することで生産され、特定の暗号化パスワードを徹底的に検索できます。 既知の技法だけで公然と明らかにして特定のパスワードは、パスワードを推測することができ：合格大wordlistsを通じて、暗号化機能を確認するかどうかを合わせて暗号化したパスワードのエントリを/ etc / passwdファイルです。 私たちの経験は、このタイプの攻撃が成功しない限り、明示的な手順を阻止するが取られています。 通常、私たちを見つけるの30 ％がパスワードを無担保、以前のシステムです。

パスワードクラック用プログラムは、その有効性を改善するには、あまりにもします。 新しいタイプのプログラムに組み込むより広範なルールと、多様なwordlistsます。 最もwordlistsは、プレーンテキストファイルを1つの単語を1行にします。 これらのファイルのサイズに幅があるから1 mバイトを超える20 mbのです。 多くのwordlistsは、インターネット上で利用できる;彼らには、さまざまな言語（英語圏のアメリカンクラッカーのようにすることができ亀裂イタリアのマシン、およびその逆の場合）です。