Руководство по хеш-функциям и как они работают

Нарушение цифровых данных стало настолько распространенным явлением, что они не вызывают слишком много аварийных сигналов, если только вы не были одним из миллионов пользователей LinkedIn, которые были подвергнуты риску, или если ваша старая учетная запись MySpace была взломана. Все эти нарушения работают вместе в загадочном пятне для большинства людей, которые не понимают, что эти компании сделали неправильно, чтобы предложить вашу информацию кибер-ворам. Это может произойти по одной из многих причин, потому что ваша информация хешированное.


Хеш может использоваться взаимозаменяемо как существительное или глагол в криптографии. Хеширование – это изменение паролей в неузнаваемые строки кода, которые невозможно преобразовать обратно. Они также называются хешами. Некоторые хеши могут быть взломаны проще, чем другие, но это все еще трудная задача, которую большинство начинающих хакеров не сможет выполнить..

Почему хэш так важен

Алгоритм хеширования

Большинство хакеров хотят использовать данные для доступа к пользовательской информации, и для этого им чаще всего нужен ваш пароль. То, что эти преступники находят и обманывают в вашем профиле, не сохраняется в форме, удобной для чтения невооруженным глазом, если только компания не защитит их конфиденциальные данные..

Ваш пароль преобразуется в хэши, как правило, в тот самый момент, когда вы их создаете, и выглядит как случайный набор строк. Это ваш пароль математически превращается во что-то не взломанное. В большинстве случаев для расшифровки хэша требуются годы, и к тому времени вы уже могли изменить пароль или удалить свою учетную запись..

Что такое хеш-функции

Хэш-функции – это функции или методы, используемые для кодирования паролей и другого простого текста в нечитаемый текст для хранения и передачи. Существует много типов хэш-функций, основанных на способе кодирования простого текста..

Что такое хэш-функции – это функции или методы, используемые для кодирования паролей и другого простого текста в нечитаемый текст для хранения и передачи. Существует много типов хэш-функций, основанных на способе кодирования простого текста..

Как создаются хэши

Как создаются хэши

Хеш-функция предназначена для односторонней функции, которая представляет собой математическую операцию, которую сначала просто выполнить, но ее нельзя отменить. Как только вы хэшируете необработанные данные, они превращаются в полный гаджет, который защищает ваш аккаунт от хакеров..

Хеши не предназначены для дешифрования каким-либо образом. После того, как вы введете свой пароль, система выполнит хэширование и проверит результаты по хешу, который был создан для вашего пароля при первой установке. Он проверяет пароль без необходимости хранить его в системе, что является еще одной причиной того, что хакеры ненавидят сайты с хешированием.

Различия между сильными и слабыми хэш-методами

Теоретически, никто никогда не сможет взломать хешированную строку, даже компания, хранящая хеш. Никто никогда не сможет преобразовать сохраненный хешированный пароль обратно в исходный пароль. Однако схемы хеширования существуют уже много лет, и некоторые стали слабее, чем другие..

Например, случай с 177 миллионами учетных записей LinkedIn, выставленных на продажу в темной сети, показывает, что хешированные пароли могут быть взломаны. В то время LinkedIn использовала только простую функцию хеширования, называемую SHAI, и не имела других средств защиты от кражи данных. Это позволило хакерам получить доступ к паролям, а также попробовать эти пароли на других сайтах. Возможно, именно поэтому аккаунты Марка Цукерберга в Twitter и Pinterest были взломаны одновременно.

Еще один случай неправильного хеширования – история нарушения данных Патреоном. На этот раз на сайте были очень сильные хеш-функции, называемые bcrypt. Эта функция обеспечивает еще некоторое время между взломом и изменением паролей, прежде чем хакер сможет получить доступ ко всем кэшированным данным..

Так в чем же разница между SHAI и bcrypt? С SHAI хакеры не могут отменить хешированный пароль, созданный с помощью этой конкретной функции. Тем не менее, они могут угадывать пароли и выполнять ту же функцию, чтобы узнать пароль и его хеширование..

Когда они получают соответствующий хэтч, они могут использовать программу для взлома хешей, чтобы фильтровать базы данных гораздо больших размеров и угадывать миллионы паролей или больше. Затем они могут использовать эти данные для сравнения с результатами группы хешированных паролей, чтобы найти больше совпадений, что приведет к эффекту домино, если вы используете один и тот же пароль для каждого сайта. Хорошая работа, Марк Цукерберг!

Каковы характеристики полезной хэш-функции

Поскольку существует несколько различных функций хеширования, лучше всего искать те с этими четырьмя характеристиками..

Эффективно и быстро

Никто не хочет ждать, чтобы войти в систему, поскольку их пароль хэшируется. Это означает, что функция хеширования должна быть эффективной и быстрой. Поскольку функция хеширования может быть трудоемкой, необходимо найти самую быструю. Если типичному компьютеру требуется несколько минут для обработки функции хеширования и создания выходных данных, это нецелесообразно для бизнеса. Большинство современных компьютеров могут обрабатывать хэш за одну пятую секунды.

Всегда дает один и тот же результат

Хеш-функции также должны быть детерминированными. Для любого предоставленного входа функция хеширования должна всегда обеспечивать один и тот же результат. Если вы подключаете один и тот же вход 5 миллионов раз, один за другим, хеш-функция должна выдавать точно такой же вывод 5 миллионов раз..

Если бы функция хеширования создавала разные результаты каждый раз, когда подключался один и тот же вход, то хеш был бы слишком случайным и бесполезным. Также было бы невозможно проверить предоставленный ввод, в чем весь смысл хешированных паролей..

Устойчивый к изображениям

Результат любой хеш-функции не должен раскрывать какую-либо информацию о предоставленном вводе. Это называется сопротивлением перед изображением. Хотя криптографические хеш-функции могут получать любую информацию, будь то буквы, слова, знаки пунктуации или цифры, хеш-функция всегда должна выдавать один и тот же результат фиксированной длины. Это верно, даже если вы введете целую книгу символов.

Это должно скрыть любые намеки относительно того, что ввод. Для хакеров должно быть невозможным угадать, что было изначально предоставлено. Поэтому невозможно определить, является ли строка длинной или короткой.

Устойчивость к столкновениям

Последняя характеристика определяет, насколько маловероятно найти два разных входа, которые создают одинаковый результат. Это означает, что существует любое количество входов, которые можно сделать, но выходы по-прежнему имеют фиксированную длину. Есть также много выходов, которые должна производить хеш-функция, но число конечно в отличие от входов, которые могут быть бесконечными.

Проще говоря, цель состоит в том, чтобы сделать поиск двух исходных данных, которые создают один и тот же выход абсолютно невозможным, и что вероятность этого может быть отклонена до того, как любой риск будет даже оценен.

Почему Хеши необратимы

Почему Хеши необратимы – Хэш-функции обычно являются односторонними из-за того, что большая часть простого текста отбрасывается в процессе шифрования. Сопоставление выполняется путем помещения пользовательского текста через хэш-функцию и сравнения его с зашифрованным текстом..

Что такое хэш-коллизионные атаки

Атака хеш-коллизии – хеш-коллизия относится к двум входным текстам, имеющим одинаковый вывод после шифрования. Это называется столкновением, а попытки найти такие строки называются хэш-атаками. Это очень маловероятно, учитывая сложность нынешних хеш-ключей.

Понимание паролей

Подстановка пароля – под добавлением подразумевается добавление дополнительной строки к паролю перед его шифрованием. Это мешает злоумышленникам идентифицировать пароли на основе предварительно вычисленной таблицы паролей, называемой радужной таблицей.

Что такое хэш-перец?

Криптографы любят приправлять свой хэш другой специей, которая называется «перец». Это похоже на солевую технику, за исключением того, что новое значение помещается в конце пароля. Есть две версии перца. Первая – это известное скрытое значение, которое добавляется к каждому значению, но оно полезно только в том случае, если хакер не знает его..

Второе – это значение, которое генерируется системой случайным образом, но не сохраняется. Это означает, что каждый раз, когда пользователь пытается войти в систему, он должен попробовать несколько комбинаций алгоритма хеширования и алгоритма перца, чтобы найти правильные значения, которые соответствуют хешу. Это означает, что для входа в систему может потребоваться много времени, поэтому он не используется.

Как хранилище паролей работает с хэш-функциями

Как хранилище паролей работает с хэш-функциями – это относится к хранению пользовательских паролей в зашифрованном виде, чтобы гарантировать, что внешние стороны не смогут манипулировать именем пользователя в случае взлома базы данных.

Как работают атаки Rainbow Table

Радужные таблицы – это таблица паролей и их вывод при кодировании с использованием многих известных хеш-функций. Такие таблицы используются для идентификации паролей без необходимости тратить время на вычисление хеш-функций.

Какие инструменты необходимы для хэш-функций

Инструменты, необходимые для хеш-функций. В качестве онлайн-инструментов доступны различные типы хеш-функций, в которых простой текст может быть зашифрован простым копированием их в заданное текстовое поле. MD5 и SHA-256 являются одними из самых популярных функций хеширования.

Понимание классов для криптографических хеш-функций

Доступно несколько различных классов хеш-функций. Тем не менее, есть несколько более распространенных способов, используемых сегодня, в том числе:

  •  BLAKE2
  •  Безопасный алгоритм хеширования или SHA-2 и SHA-3
  •  Оценка примитивов RACE Integrity DIGEST или RIPEMD
  •  Алгоритм дайджеста сообщений 5 (MD5)

Каждый из этих классов включает хеш-функции с несколькими различными алгоритмами. С SHA-2 было разработано семейство хэш-функций, чтобы сделать его более трудным для взлома. Это включает в себя SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/224 и SHA-512/256.

Хотя каждый из них отличается от другого тем, как они преобразуют данный вход, у них также есть различные фиксированные длины, которые они производят после переваривания ввода. Например, SHA-256 чаще всего используется в технологии блокчейна, и он основан на оригинальном биткойн-коде..

Как обрабатываются хэши

Как обрабатываются хэши

Одним словом, мгновенно. Для подробного объяснения процесс немного сложнее, хотя он полностью автоматизирован и происходит за считанные секунды. Этот процесс также называется Эффект лавины или Эффект бабочки.

По сути, размер блока данных отличается от одного алгоритма хеширования к другому. Для конкретного алгоритма, такого как SHA-1, сообщение или пароль принимаются в блоках, которые содержат только 512 бит. Это означает, что если пароль имеет длину всего 512 бит, хеш-функция будет выполняться только один раз. Если сообщение 1024-битное, то оно делится на отдельные блоки по 512 бит каждый. Хеш-функция также запускается дважды.

В большинстве случаев также используется метод, называемый Padding, что означает, что все сообщение или пароль делятся на блоки данных одинакового размера. Хеш-функция затем повторяется столько раз, сколько общего количества блоков. Эти блоки обрабатываются один за другим. В этом процессе выход первого блока данных подается как вход вместе со следующим блоком данных.

Выход второго затем подается на третий блок и так далее, и так далее. Это делает итоговый результат таким же, как и общее значение всех блоков вместе. Если вы изменяете прикусы в любом месте в пароле или сообщении, также изменяется значение всего хэша, отсюда и название Avalanche Effect..

Завершение

Если ваш пароль правильно хеширован и засолен, то единственный способ получить доступ – это атака грубой силой. С более длинными паролями, которые имеют больше шифрования, атака грубой силы занимает больше времени, а это означает, что это требует больше времени и затрат для хакера.

Это означает, что ваши пользователи должны всегда создавать более длинные пароли и настраивать их с помощью секретных символов, таких как символ или заглавная буква. По этой же причине случайно сгенерированные строки пароля более безопасны, чем слова из словаря, так как атаки методом перебора используют словари для поиска слов для проверки..

При регистрации в любом онлайн-бизнесе вы всегда должны проверять, как они обрабатывают свои пароли. Они зашифрованы? Они хешированы? Как ваша информация будет защищена? Большинство компаний с хешированием перечисляют это в своей политике конфиденциальности.

Рекомендуемые инструменты

  • Лучший VPN
  • Лучшие менеджеры паролей
  • Обзоры домашней безопасности
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map