अपने प्यारे नाम को मूर्ख मत बनो, ये चीजें डरावनी हैं।
जबकि आप इंद्रधनुष सारणी के रूप में इंद्रधनुष टेबल्स के बारे में सोच सकते हैं, वे लोग नहीं हैं जिन पर हम चर्चा करने जा रहे हैं। इंद्रधनुष सारणी जिनके बारे में हम बात कर रहे हैं, वे पासवर्ड को क्रैक करने के लिए उपयोग किए जाते हैं और हैकर के बढ़ते शस्त्रागार में अभी तक एक और उपकरण हैं।
इंद्रधनुष टेबल्स क्या बिल्ली हैं? इस तरह के प्यारा और पागल नाम के साथ कुछ कैसे हानिकारक हो सकता है?
इंद्रधनुष टेबल्स के पीछे मूल अवधारणा
मैं एक बुरे आदमी हूं जिसने बस एक सर्वर या वर्कस्टेशन में अंगूठे ड्राइव को प्लग किया है, इसे रीबूट किया है, और एक प्रोग्राम चलाया है जो मेरे थंब ड्राइव पर उपयोगकर्ता नाम और पासवर्ड वाले सुरक्षा डेटाबेस फ़ाइल की प्रतिलिपि बनाता है।
फ़ाइल में पासवर्ड एन्क्रिप्ट किए गए हैं इसलिए मैं उन्हें पढ़ नहीं सकता। मुझे फ़ाइल में पासवर्ड (या कम से कम प्रशासक पासवर्ड) को क्रैक करना होगा ताकि मैं सिस्टम का उपयोग करने के लिए उनका उपयोग कर सकूं।
पासवर्ड क्रैक करने के विकल्प क्या हैं? मैं जॉन द रिपर जैसे ब्रूट-फोर्स पासवर्ड क्रैकिंग प्रोग्राम का प्रयास और उपयोग कर सकता हूं, जो पासवर्ड फ़ाइल पर पाउंड करता है, जो पासवर्ड के हर संभावित संयोजन को पुन: अनुमानित करने का प्रयास करता है। दूसरा विकल्प एक पासवर्ड क्रैकिंग डिक्शनरी लोड करना है जिसमें सैकड़ों हजारों आम तौर पर इस्तेमाल किए गए पासवर्ड होते हैं और देखें कि क्या यह कोई हिट हो जाता है। यदि पासवर्ड पर्याप्त मजबूत हैं तो इन विधियों में सप्ताह, महीने या यहां तक कि वर्ष लग सकते हैं।
जब किसी सिस्टम के खिलाफ पासवर्ड "कोशिश" किया जाता है तो यह एन्क्रिप्शन का उपयोग करके "हैश" होता है ताकि वास्तविक पासवर्ड संचार लाइन में स्पष्ट टेक्स्ट में कभी नहीं भेजा जा सके। यह पासवर्ड को अवरुद्ध करने से छिपाने वालों को रोकता है। पासवर्ड का हैश आमतौर पर कचरे का एक गुच्छा जैसा दिखता है और आमतौर पर मूल पासवर्ड की तुलना में एक अलग लंबाई है। आपका पासवर्ड "shitzu" हो सकता है लेकिन आपके पासवर्ड का हैश कुछ ऐसा दिखता है जैसे "7378347eedbfdd761619451949225ec1"।
उपयोगकर्ता को सत्यापित करने के लिए, सिस्टम क्लाइंट कंप्यूटर पर पासवर्ड हैशिंग फ़ंक्शन द्वारा बनाए गए हैश मान को लेता है और सर्वर पर किसी तालिका में संग्रहीत हैश मान से इसकी तुलना करता है। यदि हैश मैच है, तो उपयोगकर्ता प्रमाणीकृत है और पहुंच प्रदान की है।
पासवर्ड को हश करना एक 1-तरफा फ़ंक्शन है, जिसका अर्थ है कि आप हैश को डिक्रिप्ट नहीं कर सकते हैं यह देखने के लिए कि पासवर्ड का स्पष्ट टेक्स्ट क्या है। एक बार बनने के बाद हैश को डिक्रिप्ट करने की कोई कुंजी नहीं है। यदि आप करेंगे तो कोई "डिकोडर रिंग" नहीं है।
पासवर्ड क्रैकिंग प्रोग्राम लॉगिन प्रक्रिया के समान तरीके से काम करते हैं। क्रैकिंग प्रोग्राम सादे टेक्स्ट पासवर्ड ले कर शुरू होता है, जो उन्हें हैश एल्गोरिदम के माध्यम से चलाता है, जैसे कि एमडी 5, और फिर चोरी पासवर्ड फ़ाइल में हैश के साथ हैश आउटपुट की तुलना करता है। यदि यह एक मैच पाता है तो कार्यक्रम ने पासवर्ड को तोड़ दिया है। जैसा कि हमने पहले कहा था, इस प्रक्रिया में बहुत लंबा समय लग सकता है।
इंद्रधनुष सारणी दर्ज करें
इंद्रधनुष टेबल्स मूल रूप से हैश मानों से भरे प्रीकंप्यूटेड टेबल के विशाल सेट हैं जो संभव सादे टेक्स्ट पासवर्ड से पहले मेल खाते हैं। इंद्रधनुष सारणी अनिवार्य रूप से हैंकर को साइडटेक्स्ट पासवर्ड क्या निर्धारित करने के लिए हैशिंग फ़ंक्शन को उलट करने की अनुमति देता है। दो अलग-अलग पासवर्ड के लिए एक ही हैश के परिणामस्वरूप संभव है, इसलिए यह पता लगाना महत्वपूर्ण नहीं है कि मूल पासवर्ड क्या था, बस जब तक यह एक ही हैश हो। सादे टेक्स्ट पासवर्ड भी वही पासवर्ड नहीं हो सकता है जो उपयोगकर्ता द्वारा बनाया गया था, लेकिन जब तक हैश का मिलान होता है, तब इससे कोई फर्क नहीं पड़ता कि मूल पासवर्ड क्या था।
इंद्रधनुष टेबल्स का उपयोग ब्रूट-फोर्स विधियों की तुलना में बहुत कम समय में पासवर्ड को क्रैक करने की अनुमति देता है, हालांकि, व्यापार-बंद यह है कि इंद्रधनुष टेबल्स को पकड़ने के लिए बहुत सारे भंडारण (कभी-कभी टेराबाइट्स) लेते हैं, इन दिनों भंडारण भरपूर और सस्ता है इसलिए यह व्यापार-बंद इतना बड़ा सौदा नहीं है क्योंकि यह एक दशक पहले था जब टेराबाइट ड्राइव कुछ ऐसा नहीं था जिसे आप स्थानीय बेस्ट बाय में ले सकते थे।
हैकर विंडोज़ XP, Vista, Windows 7, और एमडी 5 और SHA1 का उपयोग कर अपने पासवर्ड हैशिंग तंत्र के रूप में कमजोर ऑपरेटिंग सिस्टम के पासवर्ड क्रैक करने के लिए प्रीकंप्यूटेड इंद्रधनुष टेबल्स खरीद सकते हैं (कई वेब एप्लिकेशन डेवलपर्स अभी भी इन हैशिंग एल्गोरिदम का उपयोग करते हैं)।
इंद्रधनुष टेबल्स-आधारित पासवर्ड हमलों के खिलाफ खुद को कैसे सुरक्षित रखें
हम चाहते हैं कि इस पर हर किसी के लिए बेहतर सलाह दी जाए। हम यह कहना चाहते हैं कि एक मजबूत पासवर्ड मदद करेगा, लेकिन यह वास्तव में सच नहीं है क्योंकि यह समस्या की पासवर्ड की कमजोरी नहीं है, यह पासवर्ड को एन्क्रिप्ट करने के लिए उपयोग किए जाने वाले हैशिंग फ़ंक्शन से जुड़ी कमजोरी है।
सबसे अच्छी सलाह है कि हम उपयोगकर्ताओं को वेब अनुप्रयोगों से दूर रहना चाहते हैं जो आपकी पासवर्ड की लंबाई को वर्णों की एक छोटी संख्या तक सीमित करते हैं। यह कमजोर पुराने स्कूल पासवर्ड प्रमाणीकरण दिनचर्या का एक स्पष्ट संकेत है। विस्तारित पासवर्ड की लंबाई और जटिलता थोड़ा सा मदद कर सकती है, लेकिन सुरक्षा की गारंटीकृत रूप नहीं है। आपका पासवर्ड जितना लंबा होगा, उतना ही बड़ा इंद्रधनुष टेबल्स इसे क्रैक करना होगा, लेकिन बहुत से संसाधनों वाला एक हैकर अभी भी इसे पूरा कर सकता है।
इंद्रधनुष टेबल्स के खिलाफ बचाव करने के बारे में हमारी सलाह वास्तव में एप्लिकेशन डेवलपर्स और सिस्टम प्रशासकों के लिए है। जब हम इस प्रकार के हमले के खिलाफ उपयोगकर्ताओं की सुरक्षा की बात करते हैं तो वे सामने की तरफ हैं।
इंद्रधनुष तालिका हमलों के खिलाफ बचाव पर कुछ डेवलपर सुझाव यहां दिए गए हैं:
- अपने पासवर्ड हैशिंग फ़ंक्शन में MD5 या SHA1 का उपयोग न करें। एमडी 5 और एसएचए 1 पुराने पासवर्ड हैंशिंग एल्गोरिदम हैं और पासवर्ड को क्रैक करने के लिए उपयोग की जाने वाली अधिकांश इंद्रधनुष सारणी इन हैशिंग विधियों का उपयोग करके अनुप्रयोगों और प्रणालियों को लक्षित करने के लिए बनाई गई हैं। SHA2 जैसे अधिक आधुनिक हैशिंग विधियों का उपयोग करने पर विचार करें।
- अपने पासवर्ड हैशिंग रूटीन में एक क्रिप्टोग्राफिक "नमक" का प्रयोग करें। अपने पासवर्ड हैशिंग फ़ंक्शन में क्रिप्टोग्राफिक नमक जोड़ने से आपके एप्लिकेशन में पासवर्ड क्रैक करने के लिए उपयोग की जाने वाली इंद्रधनुष सारणी के उपयोग के खिलाफ बचाव में मदद मिलेगी। अपने आवेदन को "इंद्रधनुष-सबूत" में मदद करने के लिए क्रिप्टोग्राफिक नमक का उपयोग करने के तरीके के कुछ कोडिंग उदाहरण देखने के लिए कृपया विषय पर वेबमास्टर्स देखें, जिस पर विषय पर एक अच्छा लेख है।
यदि आप देखना चाहते हैं कि हैकर्स इंद्रधनुष टेबल्स का उपयोग करके पासवर्ड हमले कैसे करते हैं, तो आप अपने उत्कृष्ट पासवर्ड पुनर्प्राप्त करने के लिए इन तकनीकों का उपयोग करने के तरीके के बारे में इस उत्कृष्ट लेख को पढ़ सकते हैं।