คำแนะนำเกี่ยวกับฟังก์ชั่นแฮชและวิธีการทำงาน

การละเมิดข้อมูลดิจิตอลกลายเป็นเรื่องธรรมดาที่พวกเขาจะไม่ส่งสัญญาณเตือนภัยมากเกินไปนอกเสียจากว่าคุณจะเป็นหนึ่งในผู้ใช้ LinkedIn จำนวนหนึ่งล้านคนที่ถูกเปิดเผย การละเมิดทั้งหมดเหล่านี้ทำงานร่วมกันในความเบลอที่คลุมเครือสำหรับคนส่วนใหญ่ที่ไม่ทราบว่า บริษัท เหล่านี้ทำอะไรผิดเพื่อให้ข้อมูลของคุณแก่โจรไซเบอร์ หนึ่งในหลายสาเหตุที่อาจเกิดขึ้นนี้เป็นเพราะข้อมูลของคุณไม่ถูกต้อง แฮช.


แฮชสามารถใช้แทนกันได้เป็นคำนามหรือคำกริยาในการเข้ารหัส การแฮชคือการดำเนินการเปลี่ยนรหัสผ่านให้เป็นสตริงที่ไม่สามารถจดจำได้ซึ่งออกแบบโดยไม่สามารถแปลงกลับได้ สิ่งเหล่านี้เรียกว่าแฮช แฮชบางตัวสามารถแตกได้ง่ายกว่าแฮ็กอื่น ๆ แต่ก็ยังเป็นงานที่ยากที่แฮ็กเกอร์มือใหม่ส่วนใหญ่จะไม่สามารถทำได้.

Contents

ทำไมแฮชจึงสำคัญ

อัลกอริทึม Hashing

แฮกเกอร์ส่วนใหญ่ต้องการใช้ข้อมูลเพื่อเข้าถึงข้อมูลผู้ใช้และบ่อยครั้งที่พวกเขาต้องการรหัสผ่านของคุณ สิ่งที่อาชญากรเหล่านี้ค้นหาและฉ้อโกงจากโปรไฟล์ของคุณจะไม่ถูกจัดเก็บในรูปแบบที่ตาเปล่าสามารถอ่านได้เว้นแต่ บริษัท จะไม่ปกป้องข้อมูลที่ละเอียดอ่อนของพวกเขา.

รหัสผ่านของคุณจะถูกแปลงเป็นแฮชในเวลาที่คุณสร้างและดูเหมือนว่าจะเป็นชุดสตริงแบบสุ่ม มันคือรหัสผ่านของคุณที่ถูกแปลงเป็นสิ่งที่ไม่สามารถแฮ็คได้ ในกรณีส่วนใหญ่ใช้เวลาหลายปีในการถอดรหัสแฮชและจากนั้นคุณอาจเปลี่ยนรหัสผ่านหรือลบบัญชีของคุณแล้ว.

ฟังก์ชันแฮชคืออะไร

ฟังก์ชันแฮช – เป็นฟังก์ชันหรือเทคนิคที่ใช้เข้ารหัสรหัสผ่านและข้อความธรรมดาอื่น ๆ เป็นข้อความที่อ่านไม่ได้สำหรับการจัดเก็บและส่งสัญญาณ มีฟังก์ชันแฮชหลายประเภทตามวิธีการเข้ารหัสข้อความล้วน.

ฟังก์ชันแฮชคืออะไร – นี่คือฟังก์ชันหรือเทคนิคที่ใช้เข้ารหัสรหัสผ่านและข้อความธรรมดาอื่น ๆ เป็นข้อความที่อ่านไม่ได้สำหรับจัดเก็บและส่งสัญญาณ มีฟังก์ชันแฮชหลายประเภทตามวิธีการเข้ารหัสข้อความล้วน.

Hashes ได้รับการออกแบบอย่างไร

Hashes ได้รับการออกแบบอย่างไร

แฮชได้รับการออกแบบให้เป็นฟังก์ชั่นทางเดียวซึ่งเป็นการดำเนินการทางคณิตศาสตร์ที่ทำได้ง่ายในตอนแรก แต่ไม่สามารถกลับด้านได้ เมื่อคุณแฮชข้อมูลดิบมันจะกลายเป็น gobbledegook ที่สมบูรณ์ซึ่งเป็นวิธีที่บัญชีของคุณยังคงได้รับการปกป้องจากแฮกเกอร์.

แฮชไม่ได้ถูกออกแบบมาให้ถอดรหัส แต่อย่างใด เมื่อคุณป้อนรหัสผ่านระบบจะทำการแฮชและตรวจสอบผลลัพธ์กับแฮชที่สร้างขึ้นจากรหัสผ่านของคุณเมื่อคุณตั้งค่าครั้งแรก มันตรวจสอบรหัสผ่านโดยไม่ต้องเก็บไว้ในระบบซึ่งเป็นอีกเหตุผลหนึ่งที่แฮกเกอร์เกลียดเว็บไซต์ด้วยการแฮช.

ความแตกต่างระหว่างวิธีการแฮชที่แข็งแกร่งและอ่อนแอ

ในทางทฤษฎีแล้วไม่มีใครสามารถถอดรหัสสตริงแฮชได้แม้แต่ บริษัท ที่เก็บแฮช ไม่มีใครสามารถแปลงรหัสผ่านที่แฮชที่เก็บไว้กลับเป็นรหัสผ่านเดิมได้ อย่างไรก็ตามแผนการคร่ำครวญมีมานานหลายปีและบางคนก็อ่อนแอกว่าคนอื่น.

ตัวอย่างเช่นกรณีของบัญชี LinkedIn จำนวน 177 ล้านบัญชีที่จะวางขายบนเว็บที่มืดแสดงว่ารหัสผ่านที่แฮชสามารถถอดรหัสได้ LinkedIn ใช้ฟังก์ชันแฮชที่เรียบง่ายในเวลาที่เรียกว่า SHAI เท่านั้นและไม่มีการป้องกันอื่น ๆ เพื่อป้องกันข้อมูลจากการถูกขโมย วิธีนี้ทำให้แฮกเกอร์เข้าถึงรหัสผ่านและลองใช้รหัสผ่านเหล่านั้นในเว็บไซต์อื่น ๆ นี่อาจเป็นสาเหตุที่ทำให้บัญชีของ Mark Zuckerberg สำหรับ Twitter และ Pinterest ถูกแฮ็คในเวลาเดียวกัน.

อีกกรณีที่การแฮ็กผิดพลาดคือเรื่องราวของการละเมิดข้อมูลของ Patreon ครั้งนี้เว็บไซต์มีฟังก์ชั่นการแฮชที่แข็งแกร่งมากเรียกว่า bcrypt ฟังก์ชั่นนี้ให้เวลามากขึ้นระหว่างการฝ่าฝืนและการเปลี่ยนรหัสผ่านก่อนที่แฮ็กเกอร์จะสามารถเข้าถึงข้อมูลแคชทั้งหมดได้.

แล้ว SHAI กับ bcrypt ต่างกันอย่างไร ด้วย SHAI แฮกเกอร์จะไม่สามารถย้อนกลับรหัสผ่านที่แฮชที่สร้างด้วยฟังก์ชันเฉพาะนั้นได้ อย่างไรก็ตามพวกเขาสามารถเดารหัสผ่านและเรียกใช้ฟังก์ชันเดียวกันเพื่อค้นหารหัสผ่านและวิธีการแฮช.

เมื่อพวกเขาได้แฮทช์จับคู่พวกเขาสามารถใช้โปรแกรมแฮชแคร็กเพื่อกรองผ่านฐานข้อมูลขนาดใหญ่กว่านั้นและเดารหัสผ่านนับล้านหรือมากกว่านั้น จากนั้นพวกเขาสามารถใช้ข้อมูลนั้นเพื่อเปรียบเทียบกับผลลัพธ์จากกลุ่มของรหัสผ่านที่แฮชเพื่อค้นหาการจับคู่ที่มากขึ้นซึ่งจะนำไปสู่ผล Dominos หากคุณใช้รหัสผ่านเดียวกันสำหรับทุกไซต์ ทำได้ดีมาก Mark Zuckerberg!

ลักษณะของฟังก์ชั่นแฮชที่มีประโยชน์คืออะไร

เนื่องจากมีฟังก์ชันการแปลงแป้นพิมพ์ที่แตกต่างกันหลายแบบจึงควรมองหาฟังก์ชั่นที่มีคุณสมบัติสี่อย่างเหล่านี้.

มีประสิทธิภาพและรวดเร็ว

ไม่มีใครอยากรอเข้าสู่ระบบเนื่องจากรหัสผ่านถูกแฮช ซึ่งหมายความว่าฟังก์ชั่นการแฮชจะต้องมีประสิทธิภาพและรวดเร็ว เนื่องจากฟังก์ชันการบีบอัดอาจใช้งานได้ยากจึงจำเป็นต้องหาวิธีที่เร็วที่สุด หากคอมพิวเตอร์ทั่วไปต้องใช้เวลาหลายนาทีในการประมวลผลฟังก์ชั่นการแฮชและสร้างผลลัพธ์มันจะไม่เป็นประโยชน์สำหรับธุรกิจ คอมพิวเตอร์ส่วนใหญ่ในปัจจุบันสามารถประมวลผลแฮชได้ภายในหนึ่งในห้าของวินาที.

ให้ผลลัพธ์เดียวกันเสมอ

ฟังก์ชันแฮชจะต้องถูกกำหนดไว้ล่วงหน้า สำหรับอินพุตใด ๆ ที่มีให้ฟังก์ชันการแฮชจะต้องให้ผลลัพธ์เดียวกันเสมอ หากคุณเสียบอินพุตเดียวกัน 5 ล้านครั้งหนึ่งครั้งหลังจากนั้นฟังก์ชั่นแฮชควรสร้างเอาต์พุตที่แน่นอนเหมือนกัน 5 ล้านครั้งเช่นกัน.

หากฟังก์ชั่นการแฮชเพื่อสร้างผลลัพธ์ที่แตกต่างกันทุกครั้งที่เสียบอินพุตเดียวกันการแฮชจะสุ่มเกินไปและไร้ประโยชน์ มันเป็นไปไม่ได้ที่จะตรวจสอบอินพุตที่ให้มาด้วยซึ่งเป็นจุดรวมของรหัสผ่านที่แฮช.

ทนภาพล่วงหน้า

ผลลัพธ์ของฟังก์ชันแฮชไม่ควรเปิดเผยข้อมูลใด ๆ เกี่ยวกับอินพุตที่จัดเตรียมไว้ สิ่งนี้เรียกว่าความต้านทานก่อนภาพ แม้ว่าฟังก์ชันแฮชการเข้ารหัสอาจได้รับข้อมูลทุกชนิดไม่ว่าจะเป็นตัวอักษรคำเครื่องหมายวรรคตอนหรือตัวเลขฟังก์ชันแฮชจะต้องแสดงผลลัพธ์ที่มีความยาวคงที่เสมอ สิ่งนี้เป็นจริงแม้ว่าคุณจะป้อนหนังสือตัวละครทั้งเล่ม.

นี่คือการปกปิดคำแนะนำใด ๆ ที่เป็นสิ่งที่อินพุต มันเป็นไปไม่ได้สำหรับแฮ็กเกอร์ที่จะคาดเดาสิ่งที่มีให้ในตอนแรก ดังนั้นจึงเป็นไปไม่ได้ที่จะตัดสินว่าสายยาวหรือสั้น.

ทนต่อการชน

ลักษณะสุดท้ายกำหนดว่าจะหาอินพุทที่แตกต่างกันสองตัวที่สร้างผลลัพธ์เดียวกันได้อย่างไร ซึ่งหมายความว่ามีจำนวนอินพุตใด ๆ ที่สามารถทำได้ แต่เอาต์พุตยังคงมีความยาวคงที่ นอกจากนี้ยังมีเอาต์พุตจำนวนมากที่ฟังก์ชั่นแฮชต้องสร้าง แต่จำนวน จำกัด ในทางตรงกันข้ามกับอินพุตซึ่งอาจไม่มีที่สิ้นสุด.

เพียงแค่ใส่เป้าหมายคือการค้นหาสองอินพุตที่สร้างผลลัพธ์เดียวกันเป็นไปไม่ได้อย่างแน่นอนและความน่าจะเป็นของมันจะถูกยกเลิกก่อนที่จะมีการประเมินความเสี่ยง.

ทำไมแฮชกลับไม่ได้

เหตุใดแฮชจึงกลับไม่ได้ – โดยปกติแล้วฟังก์ชันแฮชจะเป็นแบบทางเดียวเนื่องจากข้อความธรรมดาส่วนใหญ่ถูกทิ้งในระหว่างกระบวนการเข้ารหัส การจับคู่จะกระทำโดยการใส่ข้อความของผู้ใช้ผ่านฟังก์ชั่นแฮชและเปรียบเทียบกับข้อความที่เข้ารหัส.

Hash Collision Attacks คืออะไร

Hash Collision Attack – hash collision หมายถึงข้อความอินพุตสองข้อความที่มีเอาต์พุตเดียวกันหลังจากการเข้ารหัส สิ่งนี้เรียกว่าการชนกันและการพยายามค้นหาสตริงดังกล่าวเรียกว่าการโจมตีการชนกันของแฮช สิ่งนี้ไม่น่าจะเป็นไปได้สูงนักเนื่องจากความซับซ้อนของปุ่มแฮชปัจจุบัน.

ทำความเข้าใจเกี่ยวกับการใส่รหัสผ่าน

การใส่รหัสผ่าน – การใส่เกลือหมายถึงการผนวกสตริงเพิ่มเติมเข้ากับรหัสผ่านก่อนทำการเข้ารหัส สิ่งนี้ทำให้ผู้โจมตีสามารถระบุรหัสผ่านได้ยากโดยอิงจากตารางรหัสผ่านที่กำหนดล่วงหน้าซึ่งเรียกว่าตารางรุ้ง.

Hash Peppering คืออะไร

Cryptographers ชอบปรุงแฮชด้วยเครื่องเทศชนิดอื่นที่เรียกว่า “peppering” นี่คล้ายกับเทคนิคเกลือยกเว้นว่าจะใส่ค่าใหม่ที่ท้ายรหัสผ่าน Peppering มีสองรุ่น สิ่งแรกคือค่าที่ซ่อนซึ่งเป็นที่รู้จักซึ่งถูกเพิ่มเข้าไปในแต่ละค่า แต่มันมีค่าถ้าแฮ็กเกอร์ไม่รู้จักเท่านั้น.

ประการที่สองคือค่าที่สร้างขึ้นโดยระบบแบบสุ่ม แต่ไม่ได้เก็บไว้ ซึ่งหมายความว่าทุกครั้งที่ผู้ใช้พยายามเข้าสู่ระบบก็ต้องลองหลายขั้นตอนวิธีการแฮชและอัลกอริทึมพริกไทยเพื่อหาค่าที่เหมาะสมที่ตรงกับแฮช ซึ่งหมายความว่าอาจใช้เวลานานในการลงชื่อเข้าใช้ซึ่งเป็นสาเหตุที่ไม่ได้ใช้.

การจัดเก็บรหัสผ่านทำงานอย่างไรกับฟังก์ชั่นแฮช

วิธีการจัดเก็บรหัสผ่านทำงานร่วมกับฟังก์ชันแฮช – นี่หมายถึงการจัดเก็บรหัสผ่านผู้ใช้ในลักษณะที่เข้ารหัสเพื่อให้แน่ใจว่าบุคคลภายนอกไม่สามารถจัดการการเข้าสู่ระบบของผู้ใช้ในกรณีที่ฐานข้อมูลถูกบุกรุก.

การโจมตีตารางสายรุ้งทำงานอย่างไร

Rainbow Tables – นี่คือตารางรหัสผ่านและเอาท์พุทเมื่อเข้ารหัสโดยใช้ฟังก์ชั่นแฮชที่รู้จักกันดี ตารางดังกล่าวใช้เพื่อระบุรหัสผ่านโดยไม่ต้องใช้เวลาในการคำนวณฟังก์ชันแฮช.

จำเป็นต้องใช้เครื่องมือใดสำหรับฟังก์ชั่นแฮช

เครื่องมือที่จำเป็นสำหรับฟังก์ชั่นแฮช – มีฟังก์ชั่นการแฮชที่หลากหลายให้เลือกใช้เป็นเครื่องมือออนไลน์ที่สามารถเข้ารหัสข้อความธรรมดาได้โดยเพียงแค่คัดลอกไฟล์เหล่านั้นลงในช่องข้อความที่กำหนด MD5 และ SHA-256 เป็นฟังก์ชันแฮชที่ได้รับความนิยมมากขึ้น.

การทำความเข้าใจคลาสสำหรับฟังก์ชั่นแฮชการเข้ารหัส

มีฟังก์ชันแฮชหลายประเภทให้เลือก อย่างไรก็ตามมีวิธีการทั่วไปที่ใช้อยู่เล็กน้อยในปัจจุบัน ได้แก่ :

  •  BLAKE2
  •  อัลกอริทึม Hashing ที่ปลอดภัยหรือ SHA-2 และ SHA-3
  •  การประเมินความสมบูรณ์แบบพื้นฐานของ RACE MEssage DIGEST หรือ RIPEMD
  •  อัลกอริธึม Message Digest 5 (MD5)

แต่ละคลาสเหล่านี้เกี่ยวข้องกับฟังก์ชันแฮชที่มีอัลกอริทึมที่แตกต่างกันรวมกัน ด้วย SHA-2 ตระกูลแฮฟังก์ชันได้รับการพัฒนาเพื่อให้ยากต่อการถอดรหัส ซึ่งรวมถึง SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/224 และ SHA-512/256.

ในขณะที่แต่ละคนแตกต่างจากคนอื่น ๆ ในวิธีที่พวกเขาเปลี่ยนอินพุตที่กำหนดพวกเขายังมีความยาวคงที่แตกต่างกันที่พวกเขาผลิตหลังจากการย่อยอินพุต ตัวอย่างเช่น SHA-256 ใช้เทคโนโลยี blockchain มากที่สุดและใช้รหัส Bitcoin เดิม.

กระบวนการของ HASH นั้นได้รับการดำเนินการอย่างไร

กระบวนการของ Hashes นั้นถูกดำเนินการอย่างไร

ในคำทันที สำหรับคำอธิบายโดยละเอียดกระบวนการจะซับซ้อนกว่านี้เล็กน้อยแม้ว่าจะเป็นไปโดยอัตโนมัติอย่างสมบูรณ์และเกิดขึ้นในไม่กี่วินาที กระบวนการนี้เรียกว่า Avalanche Effect หรือ Butterfly Effect.

โดยทั่วไปขนาดของบล็อกข้อมูลจะแตกต่างจากอัลกอริทึมการแฮชแบบหนึ่งไปเป็นแบบถัดไป สำหรับอัลกอริทึมที่เฉพาะเจาะจงเช่น SHA-1 ข้อความหรือรหัสผ่านได้รับการยอมรับในบล็อกที่มี 512- บิตเท่านั้น ซึ่งหมายความว่าหากรหัสผ่านมีความยาว 512 บิตเท่านั้นฟังก์ชันแฮชจะทำงานเพียงครั้งเดียว หากข้อความนั้นเป็น 1024- บิตข้อความนั้นจะถูกแบ่งออกเป็นบล็อกย่อย ๆ ละ 512 บิต ฟังก์ชันแฮชยังทำงานสองครั้ง.

ในกรณีส่วนใหญ่จะใช้เทคนิคที่เรียกว่าการแพ็ดดิ้งซึ่งหมายความว่าข้อความหรือรหัสผ่านทั้งหมดจะถูกแบ่งออกเป็นบล็อกข้อมูลที่มีขนาดเท่ากัน ฟังก์ชันแฮชจะถูกทำซ้ำหลาย ๆ ครั้งตามจำนวนบล็อกทั้งหมด บล็อกเหล่านี้จะถูกประมวลผลหนึ่งบล็อก ในกระบวนการนี้เอาต์พุตของบล็อคข้อมูลแรกจะถูกป้อนเป็นอินพุตพร้อมกับบล็อกข้อมูลถัดไป.

ผลลัพธ์ของวินาทีจะถูกป้อนไปยังบล็อกที่สามเป็นต้นไปเรื่อย ๆ สิ่งนี้ทำให้เอาท์พุทสุดท้ายเป็นหมายเลขเดียวกันกับมูลค่ารวมของบล็อกทั้งหมดเข้าด้วยกัน หากคุณเปลี่ยนไปกัดที่ใดก็ได้ในรหัสผ่านหรือข้อความค่าแฮชทั้งหมดจะเปลี่ยนด้วยดังนั้นชื่อ Avalanche Effect.

ห่อ

หากรหัสผ่านของคุณถูกแฮชและเค็มอย่างเหมาะสมวิธีเดียวที่จะผ่านได้คือการโจมตีแบบดุร้าย ด้วยรหัสผ่านที่ยาวกว่าซึ่งมีการเข้ารหัสมากขึ้นการโจมตีด้วยกำลังแบบเดรัจฉานใช้เวลานานขึ้นซึ่งหมายความว่าแฮกเกอร์ใช้เวลานานกว่า.

ซึ่งหมายความว่าผู้ใช้ของคุณควรสร้างรหัสผ่านที่ยาวขึ้นและกำหนดค่าด้วยอักขระลับเช่นสัญลักษณ์หรืออักษรตัวพิมพ์ใหญ่ นี่คือสาเหตุที่สตริงรหัสผ่านที่สร้างแบบสุ่มมีความปลอดภัยมากกว่าคำในพจนานุกรมเนื่องจากการโจมตีด้วยเดรัจฉานบังคับใช้พจนานุกรมเพื่อค้นหาคำเพื่อทดสอบ.

เมื่อลงทะเบียนกับธุรกิจออนไลน์คุณควรตรวจสอบเพื่อดูว่าพวกเขาจัดการรหัสผ่านของพวกเขาอย่างไร พวกเขาเข้ารหัสหรือไม่ พวกเขาถูกแฮชหรือไม่? ข้อมูลของคุณจะได้รับการคุ้มครองอย่างไร บริษัท ส่วนใหญ่ที่มี hashing แสดงรายการนี้ในนโยบายความเป็นส่วนตัว.

เครื่องมือที่แนะนำ

  • สุดยอด VPN
  • สุดยอดผู้จัดการรหัสผ่าน
  • รีวิวการรักษาความปลอดภัยบ้าน
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map