מדריך לתפקודי האש וכיצד הם עובדים

הפרות נתונים דיגיטליות הפכו כל כך נפוצות שהן אינן מעלות יותר מדי אזעקות אלא אם כן היית אחד ממיליוני המשתמשים בלינקדאין שנחשפו או אם חשבון MySpace הישן שלך נפרץ. כל הפרות הללו פועלות יחד לטשטוש קריפי עבור מרבית האנשים שלא מבינים מה החברות הללו עשתה לא נכון בכדי להמציא את המידע שלך לגנבי סייבר. אחת הסיבות הרבות שייתכן שקרה היא מכיוון שהמידע שלך לא היה כראוי חשיש.


האש יכול לשמש להחלפה כשם עצם או פועל בקריפטוגרפיה. Hashing היא הפעולה של שינוי סיסמאות למחרוזות קוד בלתי ניתנות לזיהוי אשר תוכננו על ידי בלתי אפשרי להמיר חזרה. אלה נקראים גם hashes. ניתן לפצח כמה חיפויים בפשטות יותר מאחרים, אך זו עדיין משימה קשה שרוב ההאקרים המתחילים לא יוכלו לבצע..

מדוע האש כה חשוב

האלגוריתם של האש

מרבית ההאקרים רוצים להשתמש בנתונים כדי לגשת למידע על המשתמש, וכדי לעשות זאת הם לרוב זקוקים לסיסמא שלך. מה שעבריינים אלה מוצאים ומונעים מהפרופיל שלך לא נשמר בצורה הניתנת לקריאה בעין בלתי מזוינת, אלא אם החברה לא מגינה על הנתונים הרגישים שלהם.

הסיסמה שלך מומרת לחיפזון בדרך כלל ברגע שאתה יוצר סיסמא, והיא נראית כמו מערך מיתרים אקראי. זוהי הסיסמה שלך במתמטיקה הפכה למשהו שאינו ניתן לפגיעה. ברוב המקרים לוקח שנים לפענח חשיש, ועד אז כבר יכולת לשנות את הסיסמה או למחוק את חשבונך..

מהן פונקציות האש

פונקציות Hash – אלה פונקציות או טכניקות המשמשות לקידוד סיסמאות וטקסט רגיל אחר לטקסט בלתי קריא לאחסון והעברה. ישנם סוגים רבים של פונקציות Hash המבוססים על אופן קידוד הטקסט הפשוט.

מהן פונקציות האש – אלה פונקציות או טכניקות המשמשות לקידוד סיסמאות וטקסט רגיל אחר לטקסט בלתי קריא לאחסון והעברה. ישנם סוגים רבים של פונקציות Hash המבוססים על אופן קידוד הטקסט הפשוט.

איך מעוצבים האשים

איך מעוצבים האשים

חשיש מתוכנן להיות פונקציה חד כיוונית, שהיא פעולה מתמטית שהיא פשוטה לביצוע בהתחלה, אך לא ניתן להפוך אותה. לאחר חשיפת הנתונים הגולמיים, הוא הופך ל- gobbledegook שלם, וכך נותר חשבונך מוגן מפני האקרים.

ההאש לא נועדו להיות מפוענחים בשום דרך. ברגע שתזין את הסיסמה שלך, המערכת תבצע את ה- hash ותבדוק את התוצאות מול ה- hash שנוצר של הסיסמה שלך כאשר הגדרת אותה לראשונה. זה מאמת את הסיסמה מבלי צורך לאחסן אותה במערכת, וזו סיבה נוספת לכך שהאקרים שונאים אתרים עם hashing.

ההבדלים בין שיטות חזקה וחלשות

בתיאוריה, אף אחד לא אמור להיות מסוגל לפצח מחרוזת חפוזה, אפילו לא החברה המאחסנת את החשיש. איש מעולם לא יוכל להמיר סיסמת אחסון מאוחסנת לסיסמה המקורית. עם זאת, תוכניות חשיפה קיימות כבר שנים רבות, וחלקן נחלשות מאחרות.

לדוגמא, המקרה של 177 מיליון חשבונות לינקדאין שעולים למכירה ברשת האפלה מראה כי ניתן לפצח סיסמאות מהודרות. לינקדאין השתמשה רק בפונקציית חשיפה פשוטה באותה עת בשם SHAI, ולא היו לה שום הגנות אחרות למניעת גניבת נתונים. זה איפשר להאקרים לגשת לסיסמאות וגם לנסות את הסיסמאות הללו באתרים אחרים. ייתכן שזו הייתה הסיבה לכך שחשבונותיו של מארק צוקרברג לטוויטר ולפינטרסט נפרצו באותו זמן.

מקרה אחר של השתבש הוא סיפור הפרת הנתונים של פטרון. הפעם, האתר היה בעל פונקציות hashing חזקות מאוד במקום שנקראו bcrypt. פונקציה זו מספקת זמן רב יותר בין הפרה לשינוי הסיסמאות לפני שההאקר יכול להגיע לכל הנתונים במטמון.

אז מה ההבדל בין SHAI ל- bcrypt? עם SHAI, האקרים אינם מסוגלים להפוך את הסיסמה המובהקת שנוצרה עם אותה פונקציה ספציפית. עם זאת, הם יכולים לנחש סיסמאות ולעבור באותה פונקציה כדי לגלות את הסיסמה וכיצד היא מתרחשת.

כאשר הם משיגים בקיעה תואמת, הם יכולים להשתמש בתוכנית לפיצוח hash כדי לסנן דרך מסדי נתונים גדולים בהרבה ולנחש מיליוני סיסמאות או יותר. לאחר מכן הם יכולים להשתמש בנתונים אלה כדי להשוות לתוצאות מקבוצה של סיסמאות מובהקות כדי למצוא התאמות נוספות, ובכך להביא לאפקט דומינוס אם אתה משתמש באותה סיסמה לכל אתר. עבודה טובה, מארק צוקרברג!

מהם המאפיינים של פונקציית Hash שימושית

מכיוון שישנן מספר פונקציות שונות של חשיפה, עדיף לחפש כאלה עם ארבעת המאפיינים הללו.

יעיל ומהיר

אף אחד לא רוצה לחכות כדי להתחבר מכיוון שהסיסמה שלו מאובסת. המשמעות היא שפונקציית ה- hashing חייבת להיות יעילה ומהירה. מכיוון שפונקציה של חשיפה יכולה להיות עמלנית, חובה למצוא את התהליך המהיר ביותר. אם מחשב טיפוסי זקוק למספר דקות כדי לעבד פונקציית hashing וליצור פלט, זה לא יהיה פרקטי עבור העסק. מרבית המחשבים כיום יכולים לעבד חשיש בחמישית השנייה.

תמיד נותן את אותה התוצאה

פונקציות האש צריכות להיות גם דטרמיניסטיות. לכל קלט המסופק, פונקציית ה- hashing חייבת לספק תמיד את אותה התוצאה. אם אתה מחבר את אותו קלט 5 מיליון פעם, בזה אחר זה, פונקציית ה- hash צריכה לייצר את אותו פלט מדויק גם 5 מיליון פעמים..

אם פונקציית hashing הייתה ליצור תוצאות שונות בכל פעם שאותו קלט מחובר לחשמל, אז ה- hash יהיה אקראי מדי וחסר תועלת. אי אפשר יהיה לאמת גם את הקלט שסופק, וזו כל הנקודות של סיסמאות מובהקות.

עמיד לפני תמונה

התוצאה של כל פונקציית hash לא אמורה לחשוף מידע על הקלט שסופק. זה מכונה התנגדות לפני תמונה. בעוד שפונקציות hash קריפטוגרפיות עשויות לקבל מידע מכל סוג שהוא, בין אם מדובר באותיות, מילים, סימני פיסוק או מספרים, פונקציית ה- hash חייבת תמיד להציג את אותה התוצאה באורך קבוע. זה נכון גם אם אתה מזין ספר תווים שלם.

זה כדי להסתיר כל רמז לגבי הקלט. האקרים ודאי לא יכולים לנחש מה סופק במקור. לכן אי אפשר לקבוע אם המיתר ארוך או קצר.

עמיד בפני התנגשות

המאפיין האחרון מגדיר עד כמה לא סביר למצוא שתי תשומות שונות שיוצרות את אותה התוצאה. המשמעות היא שיש מספר כניסות שניתן לבצע, אך הפלטים עדיין אורך קבוע. יש גם הרבה תפוקות שעל פונקציית חשיש לייצר, אך המספר הוא סופי בניגוד לתשומות שיכולות להיות אינסופיות.

במילים פשוטות, המטרה היא להפוך את מציאת שתי תשומות שיוצרות את אותה תפוקה לבלתי אפשרית לחלוטין, וניתן לבטל את ההסתברות לכך עוד לפני שמעריכים סיכון כלשהו..

מדוע ההאש לא הפיכים

מדוע Hashes בלתי הפיכים – פונקציות Hash הן בדרך כלל חד כיווניות בגלל חלק גדול מהטקסט הפשוט שנמחק במהלך תהליך ההצפנה. ההתאמה מתבצעת על ידי העברת טקסט המשתמש באמצעות פונקציית ה- Hash והשוואה לטקסט המוצפן.

מה זה התקפות של Hash

התקפה של Hash Hash – התנגשות hash מתייחסת לשני טקסטים קלט עם פלט זהה לאחר הצפנה. זה נקרא התנגשות וניסיון למצוא מיתרים כאלה נקראים התקפות חשיש. זה לא סביר מאוד לאור המורכבות של מפתחות ה- Hash הנוכחיים.

הבנת המלחת סיסמאות

Salting Password – Salting מתייחס להוספת מחרוזת נוספת לסיסמה לפני הצפנתה. זה מקשה על התוקפים לזהות סיסמאות על בסיס טבלת סיסמאות מחושבת שנקראת שולחן קשת.

מה זה פלפל האש

קריפטוגרפים אוהבים לתבל את החשיש שלהם בתבלין אחר שנקרא “מציץ”. זה דומה לטכניקת המלח, פרט לכך שהערך החדש ממוקם בסוף הסיסמה. ישנן שתי גרסאות של מציץ. הראשון הוא ערך נסתר ידוע שנוסף לכל ערך, אך הוא בעל ערך רק אם אינו ידוע על ידי ההאקר.

השני הוא הערך שנוצר באופן אקראי על ידי המערכת, אך הוא אינו מאוחסן. המשמעות היא שבכל פעם שמשתמש מנסה להתחבר, עליו לנסות שילובים מרובים של אלגוריתם ה- hashing ואלגוריתם הפלפל כדי למצוא את הערכים הנכונים התואמים לחשיש. פירוש הדבר שיכול לקחת זמן רב להתחבר, וזו הסיבה שלא משתמשים בו.

כיצד אחסון סיסמאות עובד עם פונקציות Hash

כיצד פועלת אחסון סיסמאות עם פונקציות Hash – הכוונה לאחסון סיסמאות משתמשים בצורה מוצפנת כדי להבטיח שגורמים חיצוניים לא יוכלו לתפעל את כניסת המשתמש למקרה שמאפשר פגע במסד הנתונים..

כיצד מתקפות שולחן קשת עובדות

טבלאות קשת – זוהי טבלת סיסמאות והתפוקה שלהן כאשר הם מקודדים באמצעות פונקציות hash ידועות רבות. טבלאות כאלה משמשות לזיהוי סיסמאות ללא צורך לבזבז זמן בפונקציות חשיש של חשיש.

אילו כלים דרושים לתפקודי Hash

כלים הדרושים לתפקודי Hash – סוגים שונים של פונקציות hashing זמינים ככלי מקוון בהם ניתן להצפין טקסט רגיל על ידי העתקתם לשדה טקסט נתון. MD5 ו- SHA-256 הם חלק מפונקציות ה- hashing הפופולריות יותר.

הכרת שיעורים לתפקודי Hash קריפטוגרפיים

ישנן כמה קבוצות שונות של פונקציות hash זמינות. עם זאת, ישנן מספר דרכים נפוצות יותר המשמשות כיום, כולל:

  •  BLAKE2
  •  אלגוריתם Hashing מאובטח או SHA-2 ו- SHA-3
  •  RACE Integrity Primitives Evaluation MEssage DIGEST או RIPEMD
  •  אלגוריתם עיכול הודעה (MD5)

כל אחת מהשיעורים הללו כוללת פונקציות hash עם מספר אלגוריתמים שונים בשילוב. בעזרת SHA-2 פותחה משפחה של פונקציות חשיש כדי להקשות על הסדק. זה כולל את SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/224, ו- SHA-512/256.

בעוד שכל אחד מהם משתנה זה מזה באופן בו הם משנים קלט נתון, יש להם גם אורכים קבועים משתנים שהם מייצרים לאחר עיכול הקלט. לדוגמה, SHA-256 משמש ביותר בטכנולוגיית blockchain והוא מבוסס על קוד הביטקוין המקורי.

כיצד מעובדים ההאש

כיצד מעובדים ההאש

במילה אחת, מייד. להסבר מפורט, התהליך קצת יותר מורכב אם כי הוא אוטומטי לחלוטין וקורה תוך שניות. תהליך זה נקרא גם אפקט המפולת או אפקט הפרפרים.

בעיקרון, גודל גוש הנתונים שונה מאלגוריתם hashing אחד למשנהו. עבור אלגוריתם ספציפי כמו SHA-1, ההודעה או הסיסמה מתקבלים בלוקים המכילים 512 ביטים בלבד. המשמעות היא שאם הסיסמה רק באורך 512 סיביות, פונקציית ה- hash תפעל רק פעם אחת. אם ההודעה היא 1024 סיביות, היא מחולקת לבלוקים נפרדים של 512 סיביות כל אחד. פונקציית ה- Hash פועלת גם פעמיים.

ברוב המקרים משתמשים גם בטכניקה הנקראת ריפוד, מה שאומר שההודעה או הסיסמה כולה מחולקת לבלוקי נתונים בגודל שווה. לאחר מכן, פונקציית ה- hash חוזרת על עצמה פעמים רבות ככל המספר הכולל של הבלוקים. בלוקים אלה מעובדים בזה אחר זה. בתהליך זה, התפוקה של חסימת הנתונים הראשונה מוזנת כקלט יחד עם חסימת הנתונים הבאה.

התפוקה של השנייה מוזנת אז לבלוק השלישי, וכן הלאה וכן הלאה. זה הופך את התפוקה הסופית למספר זהה לערך הכולל של כל הבלוקים יחד. אם תשנה את העקיצה בכל מקום בסיסמה או הודעה, ערך ה- hash כולו ישתנה, ומכאן השם אפקט מפולת.

מסיימים

אם הסיסמה שלך מכווצת ומומלחת כראוי, הדרך היחידה לעבור היא מתקפת כוח סוערת. עם סיסמאות ארוכות יותר שיש בהן הצפנה רבה יותר, ההתקפה של כוח הזרוע נמשכת זמן רב יותר, כלומר זמן רב יותר ויקר להאקר.

המשמעות היא שמשתמשים שלך צריכים תמיד ליצור סיסמאות ארוכות יותר ולהגדיר תווים סודיים, כגון סמל או אותיות רישיות. זו גם הסיבה שמחרוזות סיסמאות שנוצרו באופן אקראי הן בטוחות יותר ממילה מילונית, מכיוון שתקיפות כוח בריוט משתמשות במילונים כדי למצוא מילים לבחינה.

כשאתה נרשם לעסק מקוון כלשהו, ​​עליך לבדוק תמיד כיצד הם מתמודדים עם הסיסמאות שלהם. האם הם מוצפנים? האם הם נמהרים? כיצד המידע שלך יהיה מוגן? רוב החברות עם hashing מפרטות זאת במדיניות הפרטיות שלהם.

כלים מומלצים

  • ה- VPN הטוב ביותר
  • מנהלי הסיסמאות הטובים ביותר
  • ביקורות על אבטחת בית
Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me