Sözlük saldırısı - Dictionary attack

Bu makale için ek alıntılara ihtiyaç var doğrulama. Lütfen yardım et bu makaleyi geliştir tarafından güvenilir kaynaklara alıntılar eklemek. Kaynaksız materyale itiraz edilebilir ve kaldırılabilir. Kaynakları bulun: "Sözlük saldırısı"  – Haberler  · gazeteler  · kitabın  · akademisyen  · JSTOR (Şubat 2018) (Bu şablon mesajını nasıl ve ne zaman kaldıracağınızı öğrenin)

İçinde kriptanaliz ve bilgisayar Güvenliği, bir sözlük saldırısı bir biçimdir kaba kuvvet saldırısı yenme tekniği şifre veya şifre çözme anahtarını belirlemeye çalışarak kimlik doğrulama mekanizması veya parola Sözlükteki veya daha önce kullanılmış kelimeler gibi binlerce veya milyonlarca olası olasılığı deneyerek şifreler, genellikle geçmişteki güvenlik ihlallerinden elde edilen listelerden.

Teknik

Bir sözlük saldırısı, önceden düzenlenmiş bir listedeki tüm dizeleri denemeye dayanır. Bu tür saldırılar, başlangıçta bir sözlükte bulunan sözcükleri kullanıyordu (dolayısıyla sözlük saldırısı);^[1] ancak şimdi açık İnternette geçmiş veri ihlallerinden kurtarılmış yüz milyonlarca şifreyi içeren çok daha büyük listeler var.^[2] Bu tür listeleri kullanabilen ve benzer görünen harflerin yerine sayılar koymak gibi yaygın varyasyonlar üreten bir kırma yazılımı da vardır. Bir sözlük saldırısı, yalnızca başarılı olma olasılığı en yüksek olan olasılıkları dener. Sözlük saldırıları, çoğu insanın sıradan sözcükler veya ortak parolalar olan kısa parolaları seçme eğiliminde olması nedeniyle genellikle başarılıdır; veya örneğin bir rakam veya noktalama işareti eklenerek elde edilen varyantlar. Sözlük saldırıları genellikle başarılıdır, çünkü yaygın olarak kullanılan birçok parola oluşturma tekniği, kırma yazılımı kalıbı oluşturma ile birlikte mevcut listelerde yer alır. Daha güvenli bir yaklaşım, uzun bir parola (15 harf veya daha fazla) veya çok kelimeli bir parola oluşturmaktır. şifre yöneticisi program veya manuel bir yöntem.

Önceden hesaplanmış sözlük saldırısı / Gökkuşağı masası saldırısı

Elde etmek mümkündür zaman-uzay değiş tokuşu tarafından ön hesaplama listesi karmalar sözlük kelimelerinin ve bunları karma olarak kullanarak bir veritabanında depolamak anahtar. Bu, önemli miktarda hazırlık süresi gerektirir, ancak bu, gerçek saldırının daha hızlı yürütülmesine izin verir. Önceden hesaplanmış tablolar için depolama gereksinimleri bir zamanlar büyük bir maliyetti, ancak şimdi düşük maliyet nedeniyle daha az sorun teşkil ediyorlar. disk kapasitesi. Önceden hesaplanmış sözlük saldırıları, özellikle çok sayıda parolanın kırılması gerektiğinde etkilidir. Önceden hesaplanmış sözlüğün yalnızca bir kez oluşturulması gerekir ve tamamlandığında, karşılık gelen parolayı bulmak için hemen hemen her zaman parola karmaları aranabilir. Daha rafine bir yaklaşım şunları içerir: gökkuşağı masaları, biraz daha uzun arama süreleri pahasına depolama gereksinimlerini azaltan. Görmek LM karması böyle bir saldırının tehlikeye attığı bir kimlik doğrulama sistemi örneği için.

Önceden hesaplanmış sözlük saldırıları veya "gökkuşağı tablosu saldırıları", aşağıdakiler kullanılarak engellenebilir: tuz, karma sözlüğü aranan her şifre için yeniden hesaplanmaya zorlayan bir tekniktir. ön hesaplama Olası tuz değerlerinin sayısının yeterince büyük olması koşuluyla uygulanabilir değildir.

Sözlük saldırı yazılımı

• Cain ve Abel
• Çatlak
• Aircrack-ng
• Karındeşen John
• L0phtCrack
• Metasploit Projesi
• Ophcrack
• Kaba kuvvet

Ayrıca bakınız

• E-posta adresi toplama
• Intercontinental Sözlük Serisi, çevrimiçi bir dil veritabanı
• Anahtar türetme işlevi
• Anahtar germe
• Şifre kırma
• Şifrenin Gizlilik Gücü

Referanslar

Dış bağlantılar

• RFC 2828 - İnternet Güvenliği Sözlüğü
• RFC 4949 - İnternet Güvenliği Sözlüğü, Sürüm 2
• ABD Gizli Servisi, şüphelinin şifre korumalı şifreleme anahtarlarına dağıtılmış bir sözlük saldırısı kullanıyor
• Kaba Kuvvet Testi (OWASP-AT-004)