Serangan Meja Pelangi ialah serangan kriptografi yang menggunakan jadual nilai cincang yang diprakira untuk memecahkan kata laluan. Tidak seperti serangan kekerasan yang menjana semua kemungkinan kata laluan dan mengira cincang mereka dengan cepat, jadual pelangi menyimpan senarai cincang prakiraan untuk setiap kata laluan yang mungkin. Kaedah ini mengurangkan masa yang diperlukan untuk memecahkan cincang kata laluan dengan ketara.
Jadual pelangi ialah struktur data yang menyimpan output fungsi cincang kriptografi untuk senarai kemungkinan input (mis., kata laluan). Sebagai contoh, jika sistem menyimpan cincang kata laluan menggunakan algoritma MD5, jadual pelangi boleh dibuat untuk menyimpan cincangan untuk berjuta-juta kata laluan yang berpotensi. Apabila penyerang memperoleh kata laluan yang dicincang, mereka hanya mencarinya dalam jadual pelangi untuk mencari kata laluan teks biasa yang sepadan.
Serangan jadual pelangi memanfaatkan sifat jadual yang diprakira untuk memadankan kata laluan cincang dengan cepat kepada kata laluan teks biasa. Berikut ialah pecahan langkah demi langkah tentang cara serangan jadual pelangi dilakukan:
Serangan jadual pelangi mempunyai beberapa had, seperti:
Serangan jadual pelangi telah digunakan dalam beberapa pelanggaran data berprofil tinggi. Sebagai contoh, pelanggaran LinkedIn pada tahun 2012 mendedahkan berjuta-juta kata laluan cincang. Penggodam menggunakan jadual pelangi untuk memecahkan cincang ini, mendedahkan kata laluan teks biasa pengguna yang tidak terkira banyaknya.
Untuk mengurangkan risiko serangan meja pelangi, pakar keselamatan menggunakan teknik yang dikenali sebagai Salting. Pengasinan ialah proses di mana rentetan rawak yang unik ("garam") ditambahkan pada setiap kata laluan sebelum pencincangan. Ini menjadikan ia tidak boleh digunakan untuk menggunakan satu jadual pelangi untuk memecahkan berbilang kata laluan cincang.
Pengasinan melibatkan penambahan atau penambahan nilai rawak pada kata laluan pengguna sebelum mencincangnya. Setiap pengguna mempunyai garam yang unik, dan garam ini disimpan bersama kata laluan yang dicincang dalam pangkalan data. Apabila pengguna log masuk, sistem mendapatkan semula garam, menggabungkannya dengan kata laluan yang dimasukkan dan mencincang gabungan untuk menyemak terhadap cincang yang disimpan.
Contohnya:
Pengasinan mempunyai beberapa faedah yang meningkatkan keselamatan kata laluan yang disimpan:
Berikut ialah contoh Java tentang cara melaksanakan salting untuk pencincangan kata laluan menggunakan MessageDigest :
import java.security.MessageDigest; import java.security.SecureRandom; import java.util.Base64; public class PasswordSaltingExample { public static String getSalt() throws Exception { SecureRandom sr = SecureRandom.getInstance("SHA1PRNG"); byte[] salt = new byte[16]; sr.nextBytes(salt); return Base64.getEncoder().encodeToString(salt); } public static String hashPassword(String password, String salt) throws Exception { MessageDigest md = MessageDigest.getInstance("SHA-256"); md.update(salt.getBytes()); byte[] hashedPassword = md.digest(password.getBytes()); return Base64.getEncoder().encodeToString(hashedPassword); } public static void main(String[] args) throws Exception { String password = "mySecurePassword"; String salt = getSalt(); String hashedPassword = hashPassword(password, salt); System.out.println("Salt: " + salt); System.out.println("Hashed Password: " + hashedPassword); } }
Dalam kod di atas:
Apabila menjalankan kod, setiap pelaksanaan akan menghasilkan garam yang berbeza dan, akibatnya, cincang yang berbeza untuk kata laluan yang sama, mempamerkan keberkesanan pengasinan dalam melindungi daripada serangan meja pelangi.
Sentiasa gunakan fungsi cincang kriptografi yang kuat seperti SHA-256 atau bcrypt untuk pencincangan kata laluan. Algoritma ini tahan terhadap serangan perlanggaran dan telah diuji untuk keselamatan.
Pastikan setiap kata laluan pengguna diasinkan dengan rentetan rawak yang unik. Ini menghalang penyerang daripada menggunakan jadual pelangi yang sama untuk memecahkan berbilang kata laluan.
Garam hendaklah sekurang-kurangnya 16 bait panjang. Garam yang lebih lama memberikan keselamatan yang lebih baik kerana ia meningkatkan keunikan dan kerumitan.
Walaupun garam tidak perlu dirahsiakan seperti kata laluan, ia tetap harus disimpan dengan selamat untuk mengelakkan manipulasi atau penggantian oleh penyerang.
Kekal mendapat maklumat terkini dengan pengesyoran keselamatan terkini dan menilai secara berterusan kekuatan mekanisme pencincangan dan pengasinan anda.
Serangan jadual pelangi menimbulkan ancaman besar kepada keselamatan kata laluan dengan membenarkan penyerang memadankan kata laluan cincang dengan kata laluan teks biasa dengan cepat. Walau bagaimanapun, dengan menggunakan teknik seperti pengasinan, kita boleh mengurangkan risiko serangan ini dengan ketara. Salting memastikan bahawa walaupun dua pengguna mempunyai kata laluan yang sama, kata laluan cincang mereka adalah berbeza, menjadikannya hampir mustahil untuk penyerang menggunakan jadual prakiraan untuk memecahkannya. Ingat, melindungi kata laluan bukan hanya tentang memilih algoritma yang betul; ia mengenai melaksanakan strategi yang betul.
Jika anda mempunyai sebarang soalan atau memerlukan penjelasan lanjut tentang topik ini, sila komen di bawah!
Baca siaran lebih lanjut di : Sebab Mengapa Serangan Meja Pelangi Berbahaya dan Bagaimana Kata Laluan Salting Melindungi Terhadap Mereka
Atas ialah kandungan terperinci Sebab Mengapa Serangan Meja Pelangi Berbahaya dan Bagaimana Kata Laluan Salting Melindungi Terhadap Mereka. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!