Przewodnik po funkcjach skrótu i ​​ich działaniu

Naruszenia danych cyfrowych stały się tak powszechne, że nie wywołują zbyt wielu alarmów, chyba że byłeś jednym z milionów użytkowników LinkedIn, którzy zostali ujawnieni lub jeśli twoje stare konto MySpace zostało zhakowane. Wszystkie te naruszenia działają razem w tajemniczy sposób dla większości ludzi, którzy nie zdają sobie sprawy z tego, co te firmy zrobiły źle, oferując cyberprzestępcom twoje informacje. Jednym z wielu powodów może być to, że Twoje informacje były nieprawidłowe hashed.


Hash może być używany zamiennie jako rzeczownik lub czasownik w kryptografii. Hashowanie polega na zamianie haseł w nierozpoznawalne ciągi kodu, których zaprojektowanie jest niemożliwe do konwersji. Są to tak zwane skróty. Niektóre skróty można złamać prościej niż inne, ale nadal jest to trudne zadanie, którego większość początkujących hakerów nie będzie w stanie wykonać.

Dlaczego Hash jest tak ważny?

Algorytm mieszania

Większość hakerów chce wykorzystywać dane w celu uzyskania dostępu do informacji o użytkowniku, a w tym celu najczęściej potrzebują hasła. To, co ci przestępcy znajdują i oszukują z Twojego profilu, nie jest przechowywane w formie czytelnej gołym okiem, chyba że firma nie chroni ich wrażliwych danych.

Twoje hasło jest konwertowane na hasze zwykle w momencie ich utworzenia i wygląda na losowy zestaw ciągów. To twoje hasło matematycznie przekształciło się w coś nie do zhakowania. W większości przypadków odszyfrowanie skrótu zajmuje lata, a do tego czasu można już było zmienić hasło lub usunąć konto.

Jakie są funkcje skrótu

Funkcje skrótu – są to funkcje lub techniki stosowane do kodowania haseł i innego zwykłego tekstu w nieczytelnym tekście do przechowywania i przesyłania. Istnieje wiele rodzajów funkcji skrótu w zależności od sposobu kodowania zwykłego tekstu.

Co to są funkcje skrótu – są to funkcje lub techniki stosowane do kodowania haseł i innego zwykłego tekstu w nieczytelnym tekście do przechowywania i przesyłania. Istnieje wiele rodzajów funkcji skrótu w zależności od sposobu kodowania zwykłego tekstu.

Jak zaprojektowane są skróty

Jak zaprojektowane są skróty

Hash ma być funkcją jednokierunkową, która jest operacją matematyczną, którą najpierw łatwo wykonać, ale nie można jej odwrócić. Po skróceniu nieprzetworzonych danych staje się ono kompletnym bełkotem, dzięki czemu Twoje konto pozostaje chronione przed hakerami.

Skróty nie są zaprojektowane do odszyfrowywania w jakikolwiek sposób. Po wprowadzeniu hasła system wykonuje skrót i sprawdza wyniki w porównaniu z hasłem, które zostało utworzone przy pierwszym ustawieniu hasła. Weryfikuje hasło bez konieczności przechowywania go w systemie, co jest kolejnym powodem, dla którego hakerzy nienawidzą stron z hashowaniem.

Różnice między mocnymi i słabymi metodami mieszania

Teoretycznie nikt nigdy nie powinien być w stanie złamać zaszyfrowanego sznurka, nawet firma przechowująca hasz. Nikt nigdy nie będzie w stanie przekonwertować zapisanego hasła z powrotem na oryginalne hasło. Jednak programy haszujące istnieją już od wielu lat, a niektóre stały się słabsze niż inne.

Na przykład przypadek 177 milionów kont LinkedIn, które trafiają do sprzedaży w ciemnej sieci, pokazuje, że zaszyfrowane hasła można złamać. LinkedIn w tamtym czasie o nazwie SHAI korzystało tylko z prostej funkcji haszującej i nie posiadało żadnych innych zabezpieczeń zapobiegających kradzieży danych. Umożliwiło to hakerom dostęp do haseł, a także wypróbowanie tych haseł na innych stronach internetowych. Być może z tego powodu włamano się jednocześnie na konta Marka Zuckerberga na Twitterze i Pinterest.

Innym przypadkiem nieprawidłowego mieszania jest historia naruszenia danych przez Patreona. Tym razem strona miała bardzo silne funkcje haszujące o nazwie bcrypt. Ta funkcja zapewnia trochę więcej czasu między złamaniem a zmianą hasła, zanim haker będzie mógł uzyskać dostęp do wszystkich buforowanych danych.

Jaka jest różnica między SHAI a bcrypt? Dzięki SHAI hakerzy nie są w stanie odwrócić zaszyfrowanego hasła utworzonego za pomocą tej konkretnej funkcji. Mogą jednak zgadywać hasła i uruchamiać tę samą funkcję, aby odkryć hasło i sposób jego szyfrowania.

Po uzyskaniu pasującego włazu mogą użyć programu do łamania skrótów, aby przefiltrować znacznie większe bazy danych i odgadnąć miliony haseł lub więcej. Następnie mogą użyć tych danych do porównania z wynikami z grupy zaszyfrowanych haseł w celu znalezienia większej liczby dopasowań, co prowadzi do efektu domina, jeśli użyjesz tego samego hasła do każdej witryny. Dobra robota, Mark Zuckerberg!

Jakie są cechy przydatnej funkcji skrótu

Ponieważ dostępnych jest kilka różnych funkcji haszujących, najlepiej poszukać tych o tych czterech cechach.

Wydajny i szybki

Nikt nie chce czekać, aby się zalogować, ponieważ hasło jest zaszyfrowane. Oznacza to, że funkcja skrótu musi być wydajna i szybka. Ponieważ funkcja haszująca może być pracochłonna, konieczne jest znalezienie najszybszej. Jeśli typowy komputer potrzebuje kilku minut na przetworzenie funkcji skrótu i ​​utworzenie danych wyjściowych, nie byłoby to praktyczne dla firmy. Obecnie większość komputerów może przetworzyć skrót w ciągu jednej piątej sekundy.

Zawsze daje ten sam wynik

Funkcje skrótu również muszą być deterministyczne. Dla każdego dostarczonego wejścia funkcja haszująca musi zawsze zapewniać ten sam wynik. Jeśli podłączysz to samo wejście 5 milionów razy, jedna po drugiej, funkcja skrótu powinna dawać dokładnie taką samą moc wyjściową 5 milionów razy.

Jeśli funkcja skrótu miałaby generować różne wyniki za każdym razem, gdy podłączane jest to samo wejście, to skrót byłby zbyt przypadkowy i bezużyteczny. Niemożliwe byłoby również zweryfikowanie podanych danych wejściowych, które stanowią sedno zaszyfrowanych haseł.

Odporny na obraz wstępny

Wynik dowolnej funkcji skrótu nie powinien ujawniać żadnych informacji o podanych danych wejściowych. Nazywa się to oporem przed obrazem. Podczas gdy kryptograficzne funkcje skrótu mogą odbierać wszelkiego rodzaju informacje, niezależnie od tego, czy są to litery, słowa, znaki interpunkcyjne lub cyfry, funkcja skrótu musi zawsze podawać ten sam wynik o stałej długości. Dotyczy to nawet wprowadzenia całej księgi znaków.

Ma to na celu ukrycie wszelkich podpowiedzi co do danych wejściowych. Hakerzy muszą zgadywać, co zostało pierwotnie dostarczone. Dlatego nie można ustalić, czy łańcuch jest długi czy krótki.

Odporny na kolizje

Ostatnia cecha określa, jak mało prawdopodobne jest znalezienie dwóch różnych danych wejściowych, które dają ten sam wynik. Oznacza to, że można wprowadzić dowolną liczbę danych wejściowych, ale dane wyjściowe mają nadal ustaloną długość. Istnieje również wiele wyników, które musi wygenerować funkcja skrótu, ale liczba jest skończona w przeciwieństwie do danych wejściowych, które mogą być nieskończone.

Mówiąc najprościej, celem jest uniemożliwienie znalezienia dwóch danych wejściowych, które tworzą ten sam produkt, a prawdopodobieństwo jego odrzucenia przed oceną jakiegokolwiek ryzyka.

Dlaczego Hashes są nieodwracalne?

Dlaczego skróty są nieodwracalne – Funkcje skrótu są zwykle jednokierunkowe, ponieważ duża część zwykłego tekstu jest odrzucana podczas procesu szyfrowania. Dopasowywanie odbywa się poprzez przepuszczenie tekstu użytkownika za pomocą funkcji skrótu i ​​porównanie go z zaszyfrowanym tekstem.

Co to jest Hash Collision Attacks

Atak kolizji mieszania – kolizja skrótu odnosi się do dwóch tekstów wejściowych o tym samym wyniku po szyfrowaniu. Nazywa się to kolizją, a próby znalezienia takich ciągów nazywane są atakami kolizji mieszania. Jest to bardzo mało prawdopodobne, biorąc pod uwagę złożoność aktualnych kluczy skrótu.

Zrozumienie Solenie hasła

Solenie hasła – Solowanie oznacza dołączanie dodatkowego ciągu do hasła przed jego zaszyfrowaniem. Utrudnia to atakującym identyfikację haseł na podstawie wstępnie obliczonej tabeli haseł zwanej tablicą tęczy.

Co to jest Hash Peppering

Kryptografowie lubią przyprawiać swój hasz kolejną przyprawą zwaną „pieprzeniem”. Jest to podobne do techniki solnej, z tą różnicą, że nowa wartość jest umieszczana na końcu hasła. Istnieją dwie wersje pieprzu. Pierwsza to znana ukryta wartość, która jest dodawana do każdej wartości, ale jest cenna tylko wtedy, gdy nie jest znana hakerowi.

Druga to wartość generowana losowo przez system, ale nie jest przechowywana. Oznacza to, że za każdym razem, gdy użytkownik próbuje się zalogować, musi wypróbować wiele kombinacji algorytmu mieszającego i algorytmu pieprzowego, aby znaleźć odpowiednie wartości pasujące do skrótu. Oznacza to, że logowanie może trwać długo, dlatego nie jest używane.

Jak przechowywanie haseł działa z funkcjami skrótu

Jak przechowywanie haseł działa z funkcjami skrótu – dotyczy to przechowywania haseł użytkowników w sposób zaszyfrowany, aby zapewnić, że podmioty zewnętrzne nie będą w stanie manipulować logowaniem użytkownika w przypadku naruszenia bazy danych.

Jak działają ataki tęczowego stołu

Tęczowe tabele – jest to tabela haseł i ich wyników, gdy są zakodowane przy użyciu wielu znanych funkcji skrótu. Takie tabele służą do identyfikacji haseł bez konieczności poświęcania czasu na obliczanie funkcji skrótu.

Jakie narzędzia są potrzebne do funkcji skrótu

Narzędzia potrzebne do funkcji skrótu – Różne rodzaje funkcji skrótu są dostępne jako narzędzia online, w których zwykły tekst można zaszyfrować, po prostu kopiując je do danego pola tekstowego. MD5 i SHA-256 to niektóre z bardziej popularnych funkcji mieszających.

Zrozumienie klas funkcji kryptograficznych funkcji skrótu

Dostępnych jest kilka różnych klas funkcji skrótu. Jednak istnieje obecnie kilka bardziej powszechnych sposobów, w tym:

  •  BLAKE2
  •  Bezpieczny algorytm mieszania lub SHA-2 i SHA-3
  •  RACE Integrity Primitive Evaluation MEssage DIGEST lub RIPEMD
  •  Algorytm podsumowania wiadomości 5 (MD5)

Każda z tych klas obejmuje funkcje skrótu połączone kilkoma różnymi algorytmami. Wraz z SHA-2 opracowano rodzinę funkcji skrótu, aby utrudnić złamanie. Dotyczy to SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/224 i SHA-512/256.

Chociaż różnią się między sobą sposobem przekształcania danych wejściowych, mają również różne stałe długości, które wytwarzają po strawieniu danych wejściowych. Na przykład SHA-256 jest najczęściej używany w technologii blockchain i jest oparty na oryginalnym kodzie Bitcoin.

Jak przetwarzane są skróty

Jak przetwarzane są skróty

Jednym słowem, natychmiast. Aby uzyskać szczegółowe wyjaśnienie, proces jest nieco bardziej złożony, choć jest całkowicie zautomatyzowany i odbywa się w kilka sekund. Proces ten nazywany jest również efektem lawinowym lub efektem motyla.

Zasadniczo rozmiar bloku danych różni się w zależności od algorytmu mieszającego. W przypadku określonego algorytmu, takiego jak SHA-1, wiadomość lub hasło są akceptowane w blokach zawierających tylko 512 bitów. Oznacza to, że jeśli hasło ma tylko 512-bitową długość, funkcja skrótu uruchomiłaby się tylko raz. Jeśli wiadomość ma 1024 bity, jest podzielona na osobne bloki po 512 bitów. Funkcja skrótu działa również dwukrotnie.

W większości przypadków stosowana jest również technika o nazwie Padding, co oznacza, że ​​cała wiadomość lub hasło są podzielone na bloki danych o równej wielkości. Funkcja skrótu jest następnie powtarzana tyle razy, ile całkowita liczba bloków. Te bloki są przetwarzane jeden po drugim. W tym procesie dane wyjściowe z pierwszego bloku danych są podawane jako dane wejściowe wraz z następnym blokiem danych.

Wyjście drugiego jest następnie podawane do trzeciego bloku, i tak dalej i tak dalej. To sprawia, że ​​końcowy wynik jest taki sam jak całkowita wartość wszystkich bloków razem. Jeśli zmienisz zgryz w dowolnym miejscu hasła lub wiadomości, zmieni się również cała wartość skrótu, stąd nazwa Efekt lawinowy.

Podsumowanie

Jeśli twoje hasło jest odpowiednio zaszyfrowane i zasolone, jedynym sposobem na przejście będzie atak z użyciem siły. Przy dłuższych hasłach, które mają więcej szyfrowania, atak brute force trwa dłużej, co oznacza, że ​​jest to bardziej czasochłonne i kosztowne dla hakera.

Oznacza to, że użytkownicy powinni zawsze tworzyć dłuższe hasła i konfigurować je za pomocą tajnych znaków, takich jak symbol lub duża litera. Dlatego też losowo generowane ciągi hasła są bezpieczniejsze niż słowo słownikowe, ponieważ ataki typu brute force wykorzystują słowniki do wyszukiwania słów do przetestowania.

Rejestrując się w jakiejkolwiek firmie internetowej, zawsze powinieneś sprawdzić, jak radzą sobie z hasłami. Czy są szyfrowane? Czy oni są mieszani? Jak będą chronione twoje informacje? Większość firm z hashowaniem wymienia to w swojej polityce prywatności.

Zalecane narzędzia

  • Najlepsza sieć VPN
  • Najlepsi menedżerowie haseł
  • Home Security Recenzje
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map