クラッカーの目標
クラッカーの目標クラッカーの目標は、UNIXシステムおよびWindowsシステムの管理者アカウントのrootアカウントのパスワードを取得することであった。これらのアカウントは、常にこれらのシステムでは、普通のユーザーよりも多くの価値があるでしょう。一部のUNIXのセキュリティセットアップで、ホイール、セキュリティ、またはルートグループ内のユーザーのパスワードは重要な価値を持つことができる。クラッカーは、おそらくすでにターゲットマシン(攻撃者がすでに現代のシステム上の普通のユーザーには利用できないパスワードハッシュを所有する場合にのみ実行できクラッキング)へのアクセスのある程度を持っているので、それは権限を持たないアカウントがはるかになる可能性が高いではありません侵入者に値が、パスワードを取得するための技術は関係なく、ターゲットアカウントのと同じです。
これらの活動への犯罪組織の動きにターゲットがシフトする可能性が高い。代わりに、従業員の管理者やWebサイトの運営者をターゲットに、金融やeコマースのWebサイトの顧客は、実際のターゲットとなっている。これまでのところ、少なくとも、これは、Webサーバは彼らがして顧客情報を盗まれているから妥協企業の内部ネットワークへのエントリポイントだったようです。
私はこれらの犯罪者が金融サービスやeコマースサイトのいずれかで、エンドユーザのWebアカウントをターゲットにしているという証拠は認められません。彼らは唯一行っていないということは、彼らが十分な利益を実現する機会を見ていないことを意味します。これは、米国のオンライン金融サービス業界のかなりの部分が危険にさらされている明確なようだ。これらの犯罪者は明らかに、彼らはそうする十分な理由を見た場合、ほとんどのWebアカウントのパスワードをクラックするための技術的なスキルや必要な財政およびコンピュータリソースの両方を持っている。
少なくとも現在の金銭的モチベーション犯罪者のための金融サービスやeコマースサイトのいずれかで、消費者のWebアカウントに興味がないようです。これを救済する理由はほとんど彼らのです。口座とパスワード・ハッシュは、取得のためにそこにあります。セキュリティは、多くのサイトで十分に悪く、それがソニーの7700万顧客がクレジットカードを学んだ損なわれたとして、全体の顧客データベースに直接行くことを単により多くのやりがいです。強いパスワードを防ぐパスワードに対する不合理な規制がないそれらのサイトで、2012年にこのセクションを重く修正した時から、私はパスワードをグレードアップしました、パスワード分解においてコンピュータ速度と最近の開発の増加の原因であるために。お客様のパスワードはターゲットではない場合には、侵入者は、適切な権限を持つアカウントの唯一のパスワードを必要とする可能性が高い。追加アカウントは、アクセスを維持し、いくつかの価値があるが、所望の特権レベルでシステムへのアクセスを得る上で非常に実用的な違いを生む可能性があることがあります。UNIXとWindowsのシステムでは、この点で、通常はまったく異なります。UNIXシステムでは、通常は、Windowsのシステム、特にサーバーは、完全なシステムアクセスをそれぞれ有する複数の管理者レベルのアカウントを持っていることがあり、完全なシステム権限で1 rootアカウントを持っている。今日では、多くはそれであなたのパスワードを使用して、パスワードのリストを割れている人に依存している。10文字が安全か、かなり限界があります。12文字は、NSAなどの政府機関を除くほとんど誰に対して安全であるように思われる。私は通常、重要ではアカウントの14文字を選択することを知り得るではないそのうちのいくつかは非常に多くの要因が、あります。全8文字のパスワードがまだパスワードをクラッキング用に設定されたコンピュータの高速ネットワーク上の1高速なデスクトップまたは数時間に数年かかるだろうが、強引なアプローチが必要になる可能性はありません。ユーザーは、悪いパスワードをつくると言ってゆずらないです。ちょうどすべての既知の解かれたパスワードの90%以上は、このトップ10,000のパスワード・リストです。クラッカーがする必要のあるのは、それらの辞書として、およびほとんどのシステム上のパスワードにそれらが約70%から95%でこのリストを使用することです。
パスワードの93%は割れました、この中で、初期に、ビジネスの2012年6月の妥協、ネットワークのサイトlinkein.com、このリストに載っていました。 彼らは彼らが望むアカウント(複数可)を取得したり、大規模な共通パスワードのリストを使用してシステム上で必要がない場合は、クラッカーは、小さな標準辞書プラスコモン名に最初のターン、おそらくあまり一般的でパスワードやまたは数値反復およびシーケンスします共通のルールに加えて、キーボード配列、およびアルファベットの繰り返しとシーケンス、。熟練したクラッカーは、過去に働いている辞書やルールの進行を介して動作します。唯一の彼らの通常の技術では落ちていない彼らにとって非常に重要なもののために、熟練したクラッカーは強引なアプローチ、またはそれ以上の異常な辞書やルールセットを使用します。
ツールの機能リストをクラッキングパスワードシステムの根本的な欠陥が覚えやすいパスワードを選択するためのほとんどの人々の傾向である。これは、彼らが自分のパスワードとしてそれらへの個人的な意味を持つ名前や言葉を選ぶ意味し、これらはほぼ常に辞書や単語リストに記載されています。しばしば、このような名前や単語は、それらに予測可能な変化を適用することによって修正される。これにより、パスワードに含まれる文字の種類を変化させるためのシステム要件に応答してもよい。変換は操作対象単語が標準辞書(単語リストを1行に1つずつ)から、あるいは/ etc / passwdのGECOSフィールド(システムのみ、のようなUNIX)から抽出されたユーザー名と単語(または名前)からのいずれかになります。亀裂の辞書から単語に限定されるようである。ルールは、言葉に複数の変換を実行するために組み合わせることができます。下の亀裂5ドキュメントで推奨実際の変換のリストは、次のとおりです。
前の変換の数は、単純化のために省略されている長さの制限がありました。
ブルートフォースの代替は、辞書攻撃です。簡単に言うと、これはパスワードとして辞書内の各単語(電子単語リスト)を処理し、それをハッシュしてから、割れパスワードファイルにハッシュへの結果のハッシュを比較することを意味します。ハッシュが一致した場合、パスワードが知られている。これは辞書攻撃の唯一の最も基本的な形式であり、辞書攻撃の本当の力は、パスワードを作成しようとしたとき、ほとんどの人が名前や辞書に載っている単語を変化する方法を理解することから来ることをことを理解することが不可欠です。電子リスト内のすべての単語にすべての一般的な変換を適用し、それぞれの結果を暗号化することによってテストされたパスワードの数が急速に乗算します。その起源を隠すために言葉を操作するごとに「賢い」やり方は、クラッキングツールとそれを使う人にはよく知られている。
弱いと強力なパスワードを作成するのかを理解するためには、クラッキングツールができることとできないことを理解する必要があります。このページが最初に書かれていた場合には、L0phtCrackは一流のWindowsクラッキングツールでした。そのGUIインターフェースでL0phtCrackを使用して簡単ではなく、その辞書の変換機能でリッパーを傷やジョンと比較制限されています。L0phtCrack、辞書の単語の末尾に文字をユーザーが指定した番号を追加することができます。全体の文字セットを介して動作し、各辞書の単語にすべての組み合わせを追加し、これは、すべての文字列だけでなく、数字や記号が含まれています。L0phtCrackは約30,000語のデフォルトの辞書を処理するために、秒未満と(PIII 500)3万単語リストと併せて2追加の文字を処理する分半程度かかります。
L0phtCrackは、Windows上の他のツールに取って代わられています。特に、Windowsシステムをターゲットに虹のテーブルを利用する2つのツールがあります。レインボーテーブルはprecomutedハッシュを使用して、洗練された辞書攻撃の一形態である。彼らは、格納されるすべてのハッシュを必要としない非常に高度な保存方法が挙げられる。彼らは、ハッシュの「鎖」の端を確認してください。彼らは、パスワードがチェーン内のすべてのパスワードを計算することなくチェーンの一部であるかどうかを判断することができます。それはパスワードがチェーンの一部であると判断された後でのみ計算され、そのチェーン内の各パスワードがあり、それは、パスワード·ファイル内の1と比較して、個々のハッシュです。これは、すべての計算されたハッシュが保存されていた場合よりも多くの計算を要するが、でも、今日のディスクで、テストするための合理的な長さまでのすべての可能なパスワードは、ディスク上に格納することができません。虹のテーブルは、それらが14文字のパスワードに13文字および96%までのパスワードの99%の成功率を主張するのに十分なパスワードを格納することを可能にする。
すべてのWindowsシステムが同じハッシュと同じプレーンテキストのパスワードを変換するので、レインボーテーブルは、Windowsシステムに対して動作します。これは信じられないほど愚かである。Microsoftは、パスワードの保存方法の開発前に、問題はよく理解されていた。Unixのパスワードを持っていたので、システムのような、すべてのUNIXおよびUNIXの各プレーンテキストのパスワードが異なるハッシュを記憶させるために、ランダムな「塩」を使用している。Origninally塩は、4096のバリエーションを持っているのに十分なだけ大きかった。今日の塩は、それは誰もが、これまでのシステムのような任意のUnixで同じハッシュで保存さ2のパスワードを見つけるほとんどありません十分な大きさである。前計算攻撃は適切saltメカニズムを使用するWebサイトなどのシステム、または任意のシステム、のようなUnixに対して動作することはできません。20年間、Microsoftは、その著しく劣っパスワード格納方法に何か問題があるacknowlegeを拒否している。これは私の上で詳細に説明する Windowsのパスワードページ。
ジョン·リッパークラックの両方が、ユーザーが入力辞書(単語リスト)に適用される変換を制御するルールセットを定義することができます。下のジョンリッパーが実行できる変換のほとんどである。亀裂は、他のいくつかのクラッキングプログラムがそうであるように、同じ機能を備えています。
、手紙、母音、子音、大文字、小文字、数字、記号や句読点、非手紙(数字、記号および句読点):の前述のクラスには、次のいずれかの可能性があります英数字またはいくつかの他の1。長さ制限やオプションを拒否するには、可能性を増加させるが、クラッカーは、変換の特定の種類はあまり意味がないかもしれない」という言葉を「スキップすることはできません。これはクラッキングツールの効率を向上させる必要があります。たとえば、辞書はすでにすでに単語に付加した1つまたは複数の数字で、通常の単語を含むことがあります。このような「言葉」に追加の数字を付加しないことにより、割れツールが3または4桁の数字を通常の単語に追加される可能性が低いパスワードを作成しないことで、いくつかの時間を節約することができます。
Toolのサンプルをクラッキング変換は操作対象単語が標準辞書(単語リストを1行に1つずつ)から、あるいは/ etc / passwdのGECOSフィールド(システムのみ、のようなUNIX)から抽出されたユーザー名と単語(または名前)からのいずれかになります。亀裂の辞書から単語に限定されるようである。ルールは、言葉に複数の変換を実行するために組み合わせることができます。下の亀裂5ドキュメントで推奨実際の変以下最初の表は、毎秒75,000,000ハッシング操作を想定して計算される。換のリストは、次のとおりです。
前の変換の数は、単純化のために省略されている長さの制限がありました。
パスワードの強度
概念的には、パスワードをクラックするための最も簡単な方法は、すべての可能な1文字のパスワードを介して作業した文字列を生成することであり、それから2文字は、3文字などこれは、前述のブルートフォース攻撃である。これは、任意の特定の長さのパスワードで開始することができます。各試行のパスワードが攻撃を受けたものと同じ方法でハッシュされ、結果のハッシュを攻撃したパスワードのハッシュと同一である場合、新しいハッシュを生成したテストパスワードが探されているパスワードです。理論的にはすべての可能なパスワードは、この方法を発見することができますが、パスワードは一定の長さと文字の多様性に達すると、一般的に成功してこれを達成するのに十分な計算能力は、ありません。一般的にコンピュータとして長くなるために必要な、より文字多様している高速なパスワードを頂いております。多くの要因は、ブルートフォース攻撃にかかる時間を決定します。いくつかは、管理者が制御するが、ほとんどではないシステムの下であってもよく、他のものは、またはWebサイトの開発者の管理下にあってもなくてもよい。
ブルートフォース攻撃に影響を与えると同じ要因のほとんどは、辞書攻撃にも適用されます。テストされるべきパスワードの数は単純な変換の数は、単語ごとに作られるべき辞書倍の大きさです。immidiate合併症があり、ルール内の条件が満たされた場合、一部の変換ルールは適用されません。このような場合には全く数が合理的に上限を除いて計算することができません。試験されるべきパスワードの数が分かれば、それは単に、毎秒CPSやクラックによって、この分割数のアミノ酸問題である。ほとんどのクラッカーは、単にアカウントとハッシュのリスト上の1の辞書試行することはありません。彼らはより多くのまたは異なる変換と大きな下降伏辞書は、最初の小さな高収率辞書を試してみてください。だから、辞書攻撃を実行するための単純な計算ではありません、それは、アクションのクラッカー課程や行動の平均クラッカーの進路を予測する方法の詳細です。最終的にすべてのクラッカーは、彼がリストから十分なパスワードを有する場合、決定に達するか、またはfrutherリソースがリターン価値がない可能性がある場合。クラッキング回だけブルートフォース攻撃に記載されていた理由です。
一般的にパスワードのブルートフォースクラッキングにおいて最も重要な要因は、多くのパスワードが全ての可能なパスワードを覆うために検査される必要があるかである。二つの要因がこれを決定する。彼らは、パスワードの長さおよびパスワードが形成されるから、文字セット内の文字の数である。可能なパスワードの数は、パスワードの長さに代表される累乗した文字セットの文字の数です。例えば、26小文字で形成された可能性3文字のパスワードの数は、26乗である。(スペースが含まれている場合は33)文字のグループは、一般的に小文字(26)、大文字(26)、数字(10)と、記号や句読点から成ると考えられている。明らかに、最も強いパスワードは、すべての4つのグループ又は95文字からそれぞれのうちの少なくとも1つを含む。上記の一般式は、多くの場合、「文字^長さ」と表現されているので、すべての4セットを使用して8文字のパスワードは、95 ^ 8となります。
一部の人々は、文字のサブセット(母音と子音)やパスワードの強さに影響を与える他の要因を考慮することもできます。これは、パスワードを攻撃する誰かが、検索条件を調整することができていることがいかに簡単かつlikeyに依存します。使用された場合例えば、大文字、ほとんどの場合、最初の文字位置し、非常に稀に、すべての文字が大文字である場合を除いて、他の任意の場所で使用されています。良いクラッカーはオッズと一緒に行きたいといくつかのことは、大文字の最初の文字の位置を確認しなく行うことがより容易がある。ほぼすべてのパスワードクラッキングツールは、これを行いますオプションが組み込まれています。これは分数のすべての位置をチェックするコストが大文字でパスワードの95%以上を取得する必要があります。すべてのパスワードが最初にこの方法を実施した場合には、クラッカーが戻ってきて、別の工程で他の位置に行うことを選択することも、わずか数亀裂のないパスワードがあるかどうか、彼はもっとやりがいのあるプロジェクトに移動することもできます。大文字にする文字が文字が大辞典で単語を開始するために使用される周波数、または大文字がローカル製品属性で発生する頻度、またはパスワードに大文字の周波数によってorderdにされた場合、これは、より効率的であるクラッカーは、以前に割れていた。私のパスワードの評価者は、一般的な句読点、共通の記号、およびプログラミングシンボルにシンボルを分離し、異なるグループからの2が使用されている場合、33の完全なクレジットが与えられ、それ以外のサブグループに含まれる文字の数のみがカウントされます。一般的な句読点は、他のグループからのシンボルよりも一般的に使用されてはるかに頻繁に使用されている、などの句読点は、他のシンボルよりもパスワードでより一般的である必要があります。
クラッキングツールは、パスワードが作成されたcommnon方法を見つけることを容易にオプションで構築提供するために設計されており、クラッカーは、一般的なパスワードの生成に加えて、自分の個人的な経験について広く知られているものを使用しています。人々が簡単に割れているかの方法でパスワードを作成する際に、非常に予測可能であるためには、反対の圧倒的な助言にもかかわらず、何度も何度も示している。クラッキングツールの機能とどのようなクラッカーがどのように機能するかについては知られているを使用して、ツールの機能とクラッカーの行動をクラッキングのための引当金も行うものではありません、簡単な不変の数式を使用する方が理にかなっています。考慮tooolとクラッカーの両方の能力を取る任意真剣に検討ばらつきが簡単な式ではなく、より洗練された見積りを生じるはずである。
コンピューティングパワー
一つの要因は、問題を解決するために利用可能な計算能力の量である。継続的に電力が増加を計算するステップと、ムーアの法則は18カ月ごとに処理能力の倍増を予想し、これは、これまで現実に近い近似している。これは、約100倍の各年代を増やすということになります。2014年に、コンピュータは、第1、UNIXが非常に1960年代後半から1970年代初頭に開発された利用可能な場合、約十億倍の計算能力を持っていそうです。
パスワードをクラックする回数のテーブル以下最初の表は、毎秒75,000,000ハッシング操作を想定して計算される。
数のBassedはHashcatによって、これがデスクトップ・コンピュータのための相当な数字であると思われていると定めました。そして、GPUを使いませんでした。
第二は、万倍のレートまたは私は組織的犯罪行為のためのもっともらしいの図であると信じる毎秒7500億割れ、で計算される。3〜18個のパスワードの長さが示されている。上部の数字、26から95は、パスワードが形成されるの文字の数を示す。26は、小文字の数である36は、文字と数字であり、52は大文字と小文字の英字で、69は数字、記号や句読点を持つ単一の大文字であり、95は大文字と小文字が混在する文字を含むすべての表示可能なASCII文字である。69と95の数字は、多くのシステムでは法的なパスワード文字ではありませんスペースがあります。しかし、その後、彼らのパスワードに句読点や記号が許可されていないばかげたシステムがいくつかあります。aplphanumericへの主要オンライン証券サービスを制限するパスワードを、これも8文字の英数字にパスワードを制限する少なくとも1つの主要銀行が含まれています。なぜ最も機密性の高いデータと金融機関の中には、最悪のパスワードポリシーを持っているのですか?
思い出してくださいハッシュアルゴリズム、攻撃または複数のコンピュータ、およびその他の要因に応じて、極端な変化を。これらは多くの要因のいくつかcombinaionsにフィットするもっともらしい推測である。このようなすべてのWindowsシステムと、多くのWebサイトなどの塩漬けされていない未分解のパスワードの小さなファイルの場合は、これらの数値は、ファイル全体に適用されます。時間が増加してクラックが発生したパスワードの数がわずかに上がる可能性があります。システムのように、ほぼすべてのUnixを含んで適切に塩漬けされたシステムの場合、これらの時間は、ファイル内の各パスワードに適用されます。120パスワードで小企業からファイルを処理する際に、たとえば、下記の各秒は1分(平均で個々のパスワードが記載されている半分の時間でクラックされます)となります。10800レコードを適度なサイズのファイルのパスワードファイルの場合は、毎秒1.5時間となります。万人のパスワードを持つ大規模なファイルの場合、それぞれの目は5.79日となります。実際には、ほとんどのクラッカーは、辞書攻撃を開始します。典型的なパスワードファイルを使用すると、ほとんどのアカウントは本当に悪いパスワードを持つことになります。辞書は良い共通パスワードのリストに基づいたもので起動した場合、ほとんどのパスワードは非常に迅速にクラックされます。クラッカーは、ブルートフォースに進みます辞書攻撃が行われた後、このような時代には、残りの未分解のアカウントに適用されます。最初の表は、単一のマルチコアCPUを搭載したコンピュータとMD5に基づいています。強力なアルゴリズムを使用しない限り、GPUコンピュータとの時間は、非常に少なくなります。SHA512、bcryptの、またはscryptに直面した場合、これらは非常に遅く、高度に反復されると、現在のGPU上でうまく最適化されません。
あなたは、ハッシュの繰り返しを制御することができるシステムがある場合は、あなたのシステム上で使用されるアルゴリズム見つける必要 oclHashcatや他のオンライン割れベンチマークを。これは、あなたが直面するかもしれないものの大まかなアイデアを提供します。あなたは、あなたのシステムに侵入することができ、誰もがマルチGPUシステムを持っていることを前提としなければならない、これは、高速亀裂ネットワークまたはより高速を想定するのが最も安全です。あなたはイテレーションを追加する場合は、システムのデフォルトで使用している番号を割ります。少なくとも、現在のRed HatとDebianベースのLinuxシステムでは、SHAファミリアルゴリズムのデフォルトは5000回である。古いbcryptのシステムでは、デフォルトではrootの一般ユーザのための2 ^ 6または64回の繰り返しと2 ^ 8または256回の繰り返しでした。あなたは非常に顕著な1から2秒ログインまたはSUたびに待ってても構わないと思っている場合は、最良の結果が得られます。
示す時間はこのように、パスワードのセット全体を処理するための時間であり、特定のパスワードをクラックするための平均時間は、リストされた回数の半分になります。一部のパスワードは、この同じ実行の終わり近くに数日から数週間などをとり、実行の最初の数分、あるいは秒単位で分類されます。選ばれた少数の割れすることはありません。
ブルートフォース、辞書の比較クラッキング辞書を処理する時間が辞書内の単語の数の積で試されるべきパスワードの総数によって決定される速度で割ったワード当たりの変換回数数が、それはパスワードをハッシュするのにかかる。複雑なルールセットは、辞書に単語ごとのバリエーションの数千を生成することがあります。今日のコンピュータ上で、いくつかの変換の小さな辞書は(100,000未満の単語)は数秒で完了します。大規模な辞書や多くの変換や、巨大な辞書がでパスワードの総数は膨大な処理時間が相応に大きくなる。各単語変動あたりの収量は非常に低くなりますが、暗号化の数が同じで、ブルートフォース攻撃に比べて高くなければならない。 強引なようにそれは上記の表をよく見てみる価値のクラッキングベースのパスワードを辞書に唯一の選択肢である。それは95入力可能な文字から図面8文字のパスワードをクラックするために取るべきどのくらい見てください。一つの簡単な文では、視点でこれを配置する必要があります。真剣に欠陥のあるパスワードの保存方法を持っているWindowsシステムでは、含まれません
これは、任意のクラッカーがこれまでランダムに全体の95印字可能なASCII文字セットから作成された、単一のパスワードは8文字以上を得ている可能性はほとんどありません。
間違っている!
これは2001年に書かれており、変更はなかった。それから私は、すぐ下に2千年のように、すべての8文字のパスワードのクラッキングの時間を記載されている。マルチコアプロセッサは、ハイエンド·サーバでのみだったし、ネットワーククラッキングツールが利用できなかった。ボランティアのコンピュータの大規模なネットワークを使用して、前述の学術プロジェクトでは、より強力なパスワードをクラックしている。物事には、コンピュータの世界で急速に変化し、15年は長い時間です。(私は2001年に使用されるデータは、前年度からのものであった。)
誰かが本当のパスワードをクラッキングされている場合は、彼らはいくつかのコンピュータまたは機関のためのハッシュファイル(すべてのパスワードのファイル)を持っていることを意味します。彼らは、彼らがクラックしようとするために、何千またはパスワードが数百万、数百を持っていることが主な銀行や証券会社のサービスにオンラインでアクセスするためのパスワードファイルがある場合は、誰も、あなたのパスワードを取得しようとしている月または年を費やしていないかもしれませんが。犯罪組織の場合は、それが簡単にコンピュータの時間の価値は数ヶ月になります。すべての脆弱なパスワードは、適切なパスワードのように見えたその割れただけでなく、多くのことになる。この銀行や証券会社のサービスを使用するとパスワードが数学的に強く、任意の辞書または関連の弱点を全く含まない場合は、割れたものの一つになります。
ランダム性は、それの驚きを持っています。数字がランダム億数列から選択している場合は、最初の数字は最初の試行で描画される円のチャンスに1があります。非常に低いしかし、まだ可能。フル文字セットの特定のランダム、8文字のパスワードをクラッキングの1%のチャンスがあるように、第2 100,000パスワードで、コンピューティングの約20年かかります。このことが書かれていた2001年に、合理的だった。今日は、1高速なデスクトップで、それが可能なネットワーク上のヶ月未満、またはおそらく数秒になります。
アフリカーンス語であいまいな言葉、最初の文字を除いてミラーリングし、すべて大文字には、同様の長さの任意の単一のランダムな文字列以外のパスワードとして使用される可能性が高い。さらに、単一のランダムシーケンスは確実に既存の技術で(長さに応じて)検出されないことがあり、アフリカーンス語は確かにパスワードを派生どこにすることができ、それは、単にクラッカーがあると十分なリソースを適用するために選択の問題だ。実際問題として、それは報酬がそう努力とは一致しませんように、多くのクラッカーは、大辞典辞書、外国語の辞書、特に無名の外国語を気にすることはほとんどありません。繰り返しますが、必ずしも真ではない。
よく知られているパスワードクラッカー、今日の一つは、21の言語を使用した多言語大辞典が含まれています。興味深いことに中国語(普通話や、マンダリンの標準化された形)、ヒンディー語、スペイン語、ポルトガル語が含まれていませんが、これは世界で2番目に人口の多い国を出て、中南米のすべて。アラビア語とペルシャ語も含まれていない。まだそれはクラッキングツールをしようとしている良い兆候だ。日本を含むほぼすべての先進工業国があったようにアフリカーンス語は、含まれています。
何か他のものに、その単語を変更するために記述することができます任意の単語、すべての機械的な変換は、同じ文字のすべての可能なバリエーションのサブセットです。単語の長さが増加するように、標準的な変換が可能な変形のさらに小さいサブセットになる。意味のある長さのワードには、5つ以上の文字、単語とその変換はすべての文字の同じ番号のすべての可能な組み合わせの無限小の部分集合であると言う。換言すれば、長いパスワードは、辞書ベースの攻撃の大きな利点は、ブルートフォース攻撃と比較され、ひび割れする。ここでは「辞書ベースの攻撃は」で説明したように、カスタムプログラムされた辞書を含むと理解されて 以降のページ このセクションに。
私は私が今までどこにも述べたパスワードクラッキングツールと連携してそのようなことへの参照を見た11年前、2001年にプログラムされた辞書を議論した。今多言語辞書を持って同じツールは、人気のパスワードジェネレータによって作成されたものと一致するパスワードを作成しプログラムさの辞書を持っています。彼らは、ディスクに格納する必要がないようにプログラムされた辞書はクラッキングツールに直接生成されたパスワードを送る。それは、地球上の機関は、それらを格納するための十分なディスク領域がないので、多くの可能なパスワードを持ってプログラムされた辞書を記述するのは簡単です。巨大な辞書は、ディスク領域を使用せずにクラッキングツールに直接供給されなければならない。私は、処理能力は、辞書を作成することを、ディクショナリの際に、ディスク領域が本当に問題であることが始まることを信じ始めて、ネットワーク上の辞書の作品を管理していも問題である可能性が高い。利用可能なツールは、これらの能力を持っていない場合があります。
従来のコンピュータは、コンピュータのクラッキング有効にGPUのcapablitiesを維持できる速度で辞書を作成することができますか?おそらくない。GPU対応のコンピュータでは、プログラムされた辞書を作成することができますか?それは可能性が高いようです。GPU対応のコンピュータの攻撃モードのいずれかを彼らに与え2つの辞書を組み合わせたものです。プログラムされた辞書を作成することは可能なすべての組み合わせで、通常などのコンポーネント、つまり、文字の繰り返しと配列のセットを組み立てるにすぎない。これらは目立たないディスクファイルまたは内部で生成されたアレイおよび他のデータ構造から来るかどうか、プログラムされた辞書の構成要素の組み合わせは、大規模並列achitectureを活用することができる必要性が高いと思われる。これは、ソースコードへのアクセスは、ハッシュを作成せずに、組み合わせて、予備的な辞書を保存するために必要とされるであろうことは非常に可能性があります。
2007年には私はすべてのクラッキングツールは、プログラムされた辞書を使用していたという証拠を見つけることができなかったが、それはもっともらしいのパスワードを生成するすべてのメソッドは、現代的なクラッキングツールで使用するに浮きしていることを、今は明らかである。利用可能なコンピューティングパワーは、これらのCPU集中プロセスが今現実的になってきている点まで増加している。私はそれがものになるかどうかに長い予測することはできませんが、それは、我々は彼らを知っていたとして、可能なパスワードのようで、彼らはより安全な技術に置き換えなければならないという有限の寿命を有することができる。2012年に、妥協のシステムのパスワードを通常の90%以上が割れている。うちのほんの少数に過ぎませユース今日のクラッキングツールに抵抗するのに十分強いパスワードを設定します。長さは、強力なパスワードを取得するための最も簡単な方法です。任意の(しかしランダムではない)パターンを理論的に長さが先にどんな技術の滞在することができるはずです。多くの公的妥協のシステムは強力なパスワードを使用するように、管理者とユーザーを得るのだろうか?歴史はどんな指標であれば答えはノーです。
人間は、パスワードに関して彼らの行動を変えるために傾斜思えませんが、いくつかのUnixバリアントは、システムがパスワードを再度安全にハッシュを作成するツールを管理者に与えている。私は繰り返し制御をハッシュに言及よ。デフォルトの設定では、SHA512のような音のハッシュアルゴリズムで、テストのパスワードは非GPU対応のコンピュータ上の約10万回秒をハッシュ化することができます。システム管理者は、第二パスワードが正常にされた後、試して、それはテキスト端末でsuの二強がかかるポイントにSHA512ハッシュにラウンドを増やす、またはパスワード(ハッシュ部分を変更することも構わないと思っているなら)入力された、彼は大きさの約7桁彼のシステム上のパスワードハッシュの強度が増加しているでしょう。でも、基本的な辞書攻撃は、苦痛を感じさせるが遅くなります。トップ万パスワードで各アカウントを比較すると、典型的には約1ミリ秒かかります。劇的に増加したハッシュのラウンドでは、これは現在、2.75時間かけて少しかかります。つまり、ゲームのチェンジャーです。OS機能が行くように、これはimplememtするのは簡単に国境。彼らOKパスワードが非常に強くなるようにするには、シングルユーザのシステム上で、システム管理者、またはエンドユーザを許可する任意のOSのベンダまたは作成者は、これを可能にする力を持っている。 |
