Şifre kırma - Password cracking

İçinde kriptanaliz ve bilgisayar Güvenliği, şifre kırma şifreleri kurtarma işlemidir[1] itibaren veri içinde saklanan veya tarafından iletilen bilgisayar sistemi karıştırılmış biçimde. Ortak bir yaklaşım (kaba kuvvet saldırısı ) şifre için tekrar tekrar tahmin yapmayı denemek ve bunları mevcut bir kriptografik karma şifrenin.[2]

Parola kırmanın amacı, bir kullanıcının unutulmuş bir parolayı kurtarmasına (tamamen yeni bir parola yüklemek bir güvenlik riski değildir, ancak Sistem Yönetimi ayrıcalıklarını içerir), bir sisteme yetkisiz erişim elde etmesine veya önleyici olarak hareket etmesine yardımcı olmak olabilir. ölçmek sistem yöneticileri kolayca kırılabilen şifreleri kontrol edin. Dosya bazında, belirli bir dosyanın izinleri kısıtlandığında, bir yargıcın erişime izin verdiği dijital kanıtlara erişim sağlamak için parola kırma kullanılır.

Parola aramaları için gereken süre

Bir şifreyi kırma zamanı bit gücüyle ilgilidir (görmek Şifrenin Gizlilik Gücü ), şifrenin bir ölçüsüdür entropi ve parolanın nasıl saklandığına ilişkin ayrıntılar. Çoğu şifre kırma yöntemi, bilgisayarın her biri kontrol edilen birçok aday şifre üretmesini gerektirir. Bir örnek kaba kuvvetle çatlama, bir bilgisayarın denediği her başarılı olana kadar olası anahtar veya şifre. Birden fazla işlemciyle, bu süre, mümkün olan en son simge grubundan ve aynı anda baştan arama yoluyla optimize edilebilir ve diğer işlemciler, belirlenmiş olası parolalar arasından arama yapmak üzere yerleştirilebilir.[3] Gibi daha yaygın şifre kırma yöntemleri sözlük saldırıları, kalıp kontrolü, kelime listesi değiştirme, vb. gerekli denemelerin sayısını azaltmaya çalışır ve genellikle kaba kuvvetten önce denenir. Daha yüksek parola bit gücü, ortalama olarak parolayı kurtarmak için kontrol edilmesi gereken aday parolaların sayısını üssel olarak artırır ve parolanın herhangi bir kırma sözlüğünde bulunma olasılığını azaltır.[4]

Bilgisayar programlarını kullanarak şifreleri kırma yeteneği, aynı zamanda kontrol edilebilen saniyedeki olası şifre sayısının bir işlevidir. Saldırgan için hedef parolanın bir karması mevcutsa, bu sayı saniyede milyarlarca veya trilyonlarca olabilir. çevrimdışı saldırı mümkün. Aksi takdirde, oran, kimlik doğrulama yazılımının bir parolanın ne sıklıkla denenebileceğini zaman gecikmeleriyle sınırlayıp sınırlamadığına bağlıdır. CAPTCHA'lar veya birkaç başarısız denemeden sonra zorunlu kilitlenme. Hızlı tahmin etmenin mümkün olduğu başka bir durum, şifrenin bir şifreleme anahtarı. Bu gibi durumlarda, bir saldırgan, tahmin edilen bir parolanın şifrelenmiş verileri başarıyla çözüp çözmediğini hızlı bir şekilde kontrol edebilir.

Bazı türden şifre karması için, sıradan masaüstü bilgisayarlar, genel amaçlı bir CPU üzerinde çalışan şifre kırma araçlarını ve GPU tabanlı şifre kırma araçlarını kullanarak saniyede milyarlarca şifreyi kullanarak saniyede yüz milyondan fazla şifreyi test edebilir.[1][5][6] (Görmek: Karındeşen John kıyaslamalar).[7] Parola tahmin etme oranı, büyük ölçüde sistem tarafından parola karmaları oluşturmak için kullanılan kriptografik işleve bağlıdır. Uygun bir parola hashing işlevi, örneğin bcrypt, birçok büyüklük sırası basit gibi saf bir işlevden daha iyidir MD5 veya SHA. NIST'e göre, yaygın olarak seçilen parolalar ve diğer sözlük eşleşmeleriyle birlikte kullanıcı tarafından seçilen, sayılar, büyük / küçük harf karışıklığı ve semboller içeren sekiz karakterli bir parola tahmini 30 bitlik bir güce ulaşır. 230 sadece bir milyar permütasyondur[8] ve hashing işlevi naif ise saniyeler içinde kırılır. Sıradan masaüstü bilgisayarlar bir kırma çabasıyla birleştirildiğinde, botnet'ler şifre kırma yetenekleri önemli ölçüde genişletilmiştir. 2002 yılında, dağıtılmış.net 64 bit başarıyla bulundu RC5 dört yıl içinde, çeşitli zamanlarda 300.000'den fazla farklı bilgisayarı içeren ve saniyede ortalama 12 milyardan fazla anahtar üreten bir çabayla.[9]

Grafik işlemcileri özel karma algoritmalar için genel amaçlı bilgisayarlara göre şifre kırmayı 50 ila 100 kat hızlandırabilir. 2011 itibariyle, mevcut ticari ürünler, üst düzey bir grafik işlemcisi kullanarak standart bir masaüstü bilgisayarda saniyede 2.800.000.000'e kadar şifreyi test etme becerisine sahip olduğunu iddia ediyor.[10] Böyle bir cihaz, bir günde 10 harfli tek harfli bir şifreyi kırabilir. Çalışma, karşılaştırılabilir GPU'lara sahip mevcut bilgisayarların sayısıyla orantılı ek bir hızlanma için birçok bilgisayara dağıtılabilir.[kaynak belirtilmeli ]. Bununla birlikte, bazı algoritmalar özellikle GPU'larda yavaş çalışacak şekilde tasarlanmıştır. Örnekler şunları içerir (üçlü) DES, bcrypt , şifrelemek ve Argon2.

Son on yılda donanım ivmesinin ortaya çıkışı GPU çoğu karma algoritma için kaba kuvvet saldırısının verimliliğini ve hızını artırmak için kaynakların kullanılmasını sağladı. 2012 yılında, Stricture Consulting Group, saniyede 350 milyar tahminlik kaba kuvvet saldırı hızına ulaşan 25 GPU'lu bir kümeyi açıkladı ve kontrol etmelerine olanak tanıyor. 5.5 saatte şifre kombinasyonları. Ocl- kullanmaHashcat Artı Sanal OpenCL küme platformu[11], Linux tabanlı GPU kümesi "LinkedIn kullanıcılarına ait 6,5 milyon şifre karmasının yüzde 90'ını kırmak" için kullanıldı.[12]

Bazı özel karma algoritmalar için, CPU'lar ve GPU'lar iyi bir eşleşme değildir. Yüksek hızlarda çalışması için amaca uygun donanım gereklidir. Özel donanım kullanılarak yapılabilir FPGA veya ASIC teknoloji. Her iki teknolojinin geliştirilmesi karmaşık ve (çok) pahalıdır. Genel olarak, FPGA'lar küçük miktarlarda uygundur, ASIC'ler büyük miktarlarda (çok) uygundur, daha enerji verimli ve daha hızlıdır. 1998 yılında Electronic Frontier Foundation (EFF) ASIC'leri kullanarak özel bir şifre kırıcı oluşturdu. Makineleri, Derin Çatlak, 56 saatte bir DES 56-bit anahtarı kırarak saniyede 90 milyardan fazla anahtarı test etti[13]. 2017'de sızdırılan belgeler, ASIC'lerin tüm interneti kodlamak için askeri bir proje için kullanıldığını gösteriyor.[14]. ASIC temel parola kırıcılarının tasarlanması ve oluşturulması, hükümet dışı kuruluşların erişemeyeceği varsayılır. 2019'dan beri John the Ripper, FPGA kullanan sınırlı sayıda karma algoritma için şifre kırmayı destekliyor[15]. FPGA tabanlı kurulumlar artık ticari şirketler tarafından parola kırma için kullanılıyor[16].

Hatırlaması kolay, tahmin etmesi zor

Hatırlanması zor olan parolalar bir sistemin güvenliğini azaltacaktır çünkü (a) kullanıcıların güvenli olmayan bir yöntem kullanarak parolayı not alması veya elektronik olarak saklaması gerekebilir, (b) kullanıcıların sık parola sıfırlamalarına ihtiyaç duyması ve (c) kullanıcıların daha olası olması aynı parolayı yeniden kullanmak için. Benzer şekilde, şifre gücü için daha katı gereksinimler, ör. "büyük ve küçük harflerin ve rakamların karışımına sahip" veya "her ay değiştirin", kullanıcıların sistemi altüst etme derecesi o kadar yüksek olur.[17]

"Şifrelerin Hatırlanabilirliği ve Güvenliği" bölümünde,[18] Jeff Yan et al. Kullanıcılara iyi bir şifre seçimi konusunda verilen tavsiyelerin etkisini inceler. Bir kelime öbeğini düşünmeye ve her kelimenin ilk harfini almaya dayanan şifrelerin, saf bir şekilde seçilmiş şifreler kadar akılda kalıcı olduğunu ve rastgele oluşturulmuş şifreler kadar kırılmasının zor olduğunu buldular. İki alakasız kelimeyi birleştirmek başka bir iyi yöntemdir. Kişisel olarak tasarlanmış bir "algoritma "belirsiz şifreler oluşturmak için başka bir iyi yöntemdir.

Bununla birlikte, kullanıcılardan "büyük ve küçük harflerin karışımından oluşan" bir şifreyi hatırlamalarını istemek, onlardan bir dizi biti hatırlamalarını istemeye benzer: hatırlaması zor ve kırması sadece biraz daha zor (örneğin, yalnızca 128 kat daha zordur) 7 harfli şifreleri kırın, kullanıcı harflerden birini büyük yazarsa daha az). Kullanıcılardan "hem harf hem de rakam" kullanmalarını istemek genellikle saldırganlar tarafından iyi bilinen 'E' → '3' ve 'I' → '1' gibi tahmin edilmesi kolay ikamelere yol açar. Benzer şekilde şifreyi bir klavye satırı yukarı yazmak, saldırganlar tarafından bilinen yaygın bir numaradır.

Araştırma, birkaç profesör tarafından Nisan 2015 tarihli bir makalede ayrıntılı olarak, Carnegie Mellon Üniversitesi insanların parola yapısı seçimlerinin genellikle bilinen birkaç modeli izlediğini gösterir. Sonuç olarak, parolalar matematiksel olasılıklarının aksi takdirde gösterdiğinden çok daha kolay kırılabilir. Örneğin, tek basamaklı şifreler orantısız bir şekilde şifrenin sonunda yer alır.[19]

Olaylar

16 Temmuz 1998'de, CERT bir saldırganın 186.126 şifreli parola bulduğu bir olay bildirdi. Keşfedildikleri zaman, 47.642 şifreyi çoktan kırmışlardı.[20]

Aralık 2009'da, büyük bir şifre ihlali Rockyou.com 32 milyon parolanın yayınlanmasına neden olan web sitesi gerçekleşti. Saldırgan daha sonra 32 milyon parolanın tam listesini (başka hiçbir tanımlayıcı bilgi olmadan) internete sızdırdı. Şifreler, veritabanında açık metin olarak saklandı ve bir SQL Enjeksiyon güvenlik açığı aracılığıyla çıkarıldı. Imperva Uygulama Savunma Merkezi (ADC), şifrelerin gücü üzerine bir analiz yaptı.[21]

Haziran 2011'de, NATO (Kuzey Atlantik Anlaşması Örgütü), e-kitapçılarının 11.000'den fazla kayıtlı kullanıcısının adlarının ve soyadlarının, kullanıcı adlarının ve şifrelerinin kamuya açıklanmasına yol açan bir güvenlik ihlali yaşadı. Veriler bir parçası olarak sızdırıldı AntiSec Operasyonu içeren bir hareket Anonim, LulzSec ve diğer bilgisayar korsanlığı grupları ve bireyler.[22]

11 Temmuz 2011'de, Booz Allen Hamilton için önemli miktarda iş yapan büyük bir Amerikan Danışmanlık firması Pentagon, sunucuları tarafından hacklendi Anonim ve aynı gün sızdırıldı. "'Military Meltdown Monday' olarak adlandırılan sızıntı, 90.000 askeri personelin oturum açmasını içeriyor. USCENTCOM, SOCOM, Deniz Kolordu, çeşitli Hava Kuvvetleri tesisler Milli Güvenlik, Dışişleri Bakanlığı personel ve özel sektör müteahhitlerine benzeyen. "[23] Sızan bu şifreler karma hale getirildi tuzsuz SHA-1 ve daha sonra ADC ekibi tarafından Imperva bazı askeri personelin bile "1234" kadar zayıf şifre kullandığını ortaya koydu.[24]

18 Temmuz 2011'de Microsoft Hotmail şu parolayı yasakladı: "123456".[25]

Temmuz 2015'te, kendisine "Etki Ekibi" adını veren bir grup Ashley Madison'ın kullanıcı verilerini çaldı. Birçok parola, hem nispeten güçlü hem de bcrypt algoritması ve daha zayıf MD5 karması. İkinci algoritmaya saldırmak, yaklaşık 11 milyon şifresiz şifrenin kurtarılmasına izin verdi.

Önleme

Bir parolanın kırılmasını önlemenin bir yolu, saldırganların karma parolaya bile erişememesini sağlamaktır. Örneğin, Unix işletim sistemi, hashing uygulanmış şifreler başlangıçta herkesin erişebileceği bir dosyada saklanıyordu / etc / passwd. Modern Unix (ve benzeri) sistemlerde ise, bunlar gölge şifre dosya / etc / shadow, yalnızca gelişmiş ayrıcalıklarla (yani, "sistem" ayrıcalıklarıyla) çalışan programlar için erişilebilir. Bu, kötü niyetli bir kullanıcının ilk durumda karma şifreleri elde etmesini zorlaştırır, ancak bu tür korumalara rağmen birçok şifre karma koleksiyonu çalındı. Ve bazı yaygın ağ protokolleri şifreleri açık metin olarak iletir veya zayıf sınama / yanıt şemaları kullanır.[26][27]

Diğer bir yaklaşım, siteye özgü bir gizli anahtarı parola karması ile birleştirmektir; bu, karma değerler alınıyor olsa bile düz metin parola kurtarmayı önler. ancak ayrıcalık artırma Korunan hash dosyalarını çalabilen saldırılar da site sırrını açığa çıkarabilir. Üçüncü bir yaklaşım kullanmaktır anahtar türetme işlevleri şifrelerin tahmin edilme oranını düşürür.[28]:5.1.1.2

Diğer bir koruma önlemi, tuz, karma oluşturmaya dahil edilen her parolaya özgü rastgele bir değer. Salt, birden fazla karmanın aynı anda saldırıya uğramasını önler ve ayrıca önceden hesaplanmış sözlüklerin oluşturulmasını engeller. gökkuşağı masaları.

Modern Unix Sistemleri geleneksel olanın yerini aldı DES tabanlı parola karma işlevi mezar odası() gibi daha güçlü yöntemlerle crypt-SHA, bcrypt ve şifrelemek.[29] Diğer sistemler de bu yöntemleri benimsemeye başladı. Örneğin, Cisco IOS başlangıçta tersine çevrilebilir Vigenère şifresi parolaları şifrelemek için, ancak artık "sırrı etkinleştir" komutu kullanıldığında 24 bitlik bir tuzla md5-crypt kullanıyor.[30] Bu yeni yöntemler, saldırganların aynı anda birden fazla kullanıcı hesabına etkili bir şekilde çevrimdışı saldırılar düzenlemesini önleyen büyük tuz değerleri kullanır. Algoritmaların yürütülmesi de çok daha yavaştır ve bu da başarılı bir çevrimdışı saldırı gerçekleştirmek için gereken süreyi önemli ölçüde artırır.[31]

Şifreleri saklamak için kullanılan birçok karma, örneğin MD5 ve SHA ailesi, düşük bellek gereksinimleri ve donanımda verimli uygulama ile hızlı hesaplama için tasarlanmıştır. Bu algoritmaların birden çok örneği paralel olarak çalıştırılabilir. grafik işleme birimleri (GPU'lar), çatlamayı hızlandırıyor. Sonuç olarak, hızlı karmalar, tuzla bile parola kırılmasını önlemede etkisizdir. Biraz anahtar germe gibi algoritmalar PBKDF2 ve crypt-SHA Parola karmalarını yinelemeli olarak hesaplar ve yineleme sayısı yeterince yüksekse parolaların test edilme oranını önemli ölçüde azaltabilir. Gibi diğer algoritmalar şifrelemek vardır hafızada zor Bu, zaman alan hesaplamaya ek olarak nispeten büyük miktarlarda belleğe ihtiyaç duydukları ve bu nedenle GPU'lar ve özel entegre devreler kullanılarak kırılmaları daha zor olduğu anlamına gelir.

2013 yılında uzun vadeli Şifre Karma Yarışması şifre hashing için yeni, standart bir algoritma seçeceği duyuruldu[32], ile Argon2 2015'te kazanan seçildi. Başka bir algoritma, Balon, tarafından tavsiye edilmektedir NIST.[33] Her iki algoritma da hafızada zordur.

Gibi çözümler güvenlik belirteci bir ... Ver resmi kanıt şifreyi sürekli değiştirerek cevaplayın. Bu çözümler, mevcut zaman dilimini aniden kısaltır. kaba kuvvet (saldırganın parolayı tek vardiya içinde kırması ve kullanması gerekir) ve kısa süreli geçerliliği nedeniyle çalınan parolaların değerini düşürürler.

Yazılım

Ana Kategori: Parola kırma yazılımı

Birçok şifre kırma yazılımı aracı vardır, ancak en popülerleri[34] vardır Aircrack, Cain ve Abel, Karındeşen John, Hashcat, Hydra, DaveGrohl ve ElcomSoft. Birçok dava destek yazılımı paketler ayrıca şifre kırma işlevini de içerir. Bu paketlerin çoğu, kırma stratejileri, kaba kuvvetli algoritma ve en üretken olduğu kanıtlanan sözlük saldırılarının bir karışımını kullanır.[35]

Bilgi işlem gücünün artan kullanılabilirliği ve bir dizi koruma şeması için başlangıç ​​dostu otomatik şifre kırma yazılımı, faaliyetin senaryo çocukları.[36]

Ayrıca bakınız

Referanslar

  1. ^ a b oclHashcat-lite - gelişmiş şifre kurtarma. Hashcat.net. Erişim tarihi: 31 Ocak 2013.
  2. ^ Montoro, Massimiliano (2009). "Brute-Force Password Cracker". Oxid.it. 20 Ağustos 2013 tarihinde kaynağından arşivlendi. Alındı 13 Ağustos 2013.CS1 bakımlı: uygun olmayan url (bağlantı)
  3. ^ Bahadursingh, Roman (19 Ocak 2020). [Roman Bahadursingh. (2020). N İşlemcide Brute Force Password Cracking için Dağıtılmış Algoritma. http://doi.org/10.5281/zenodo.3612276 "N İşlemcide Brute Force Password Cracking için Dağıtılmış Bir Algoritma"] Kontrol | url = değer (Yardım). zenodo.org. doi:10.5281 / zenodo.3612276.
  4. ^ Lundin Leigh (11 Ağustos 2013). "PIN'ler ve Şifreler, Bölüm 2". Şifreler. Orlando: SleuthSayers.
  5. ^ Alexander, Steven. (20 Haziran 2012) Böcek Büyütücü: Şifreler ne kadar uzun olmalıdır?. Bugcharmer.blogspot.com. Erişim tarihi: 31 Ocak 2013.
  6. ^ Cryptohaze Blog: 10 karmada 154 Milyar NTLM / sn. Blog.cryptohaze.com (15 Temmuz 2012). Erişim tarihi: 2013-01-31.
  7. ^ John the Ripper karşılaştırmaları. openwall.info (30 Mart 2010). Erişim tarihi: 2013-01-31.
  8. ^ Burr, W. E .; Dodson, D. F .; Polk, W.T. (2006). "Elektronik Kimlik Doğrulama Rehberi" (PDF). NIST. doi:10.6028 / NIST.SP.800-63v1.0.2. Alındı 27 Mart, 2008. Alıntı dergisi gerektirir | günlük = (Yardım)
  9. ^ "64 bit anahtar proje durumu". Distributed.net. Arşivlenen orijinal 10 Eylül 2013. Alındı 27 Mart, 2008.
  10. ^ Şifre Kurtarma Hızı tablosu, şuradan ElcomSoft. NTLM şifreler Nvidia Tesla S1070 GPU, 1 Şubat 2011'de erişildi
  11. ^ http://www.mosix.org/txt_vcl.html/
  12. ^ "25 GPU kümesi, her standart Windows şifresini 6 saatten kısa sürede kırar". 2012.
  13. ^ "EFF DES Cracker makinesi, kripto tartışmalarına dürüstlük getiriyor". EFF. Arşivlenen orijinal 1 Ocak 2010. Alındı 7 Haziran 2020.
  14. ^ "NYU KAZA SONUCU ASKERİ KOD-KIRAN BİLGİSAYAR PROJESİNİ TÜM İNTERNETE MARUZ BIRAKTI".
  15. ^ "Karındeşen John 1.9.0-jumbo-1".
  16. ^ "Bcrypt şifre kırma işlemi son derece yavaş mı? Yüzlerce FPGA kullanıyorsanız değil!".
  17. ^ Ağ Güvenliğini Yönetme. Fred Cohen & Associates. All.net. Erişim tarihi: 31 Ocak 2013.
  18. ^ Yan, J .; Blackwell, A .; Anderson, R .; Grant, A. (2004). "Parola Hatırlanabilirliği ve Güvenliği: Ampirik Sonuçlar" (PDF). IEEE Güvenlik ve Gizlilik Dergisi. 2 (5): 25. doi:10.1109 / MSP.2004.81. S2CID  206485325.
  19. ^ Steinberg, Joseph (21 Nisan 2015). "Yeni Teknoloji 'Güçlü' Şifreler - Bilmeniz Gerekenler". Forbes.
  20. ^ "CERT IN-98.03". Alındı 9 Eylül 2009.
  21. ^ "Tüketici Şifresi İçin En Kötü Uygulamalar" (PDF).
  22. ^ "NATO Hack Saldırısı". Alındı 24 Temmuz 2011.
  23. ^ "Anonim Son Antisec Saldırısında 90.000 Askeri E-posta Hesabını Sızdırdı". 11 Temmuz 2011.
  24. ^ "Askeri Şifre Analizi". 12 Temmuz 2011.
  25. ^ "Microsoft'un Hotmail Yasakları 123456". Imperva. 18 Temmuz 2011. Arşivlendi orijinal 27 Mart 2012 tarihinde.
  26. ^ Şarkıcı, Abe (Kasım 2001). "Düz Metin Şifresi Yok" (PDF). Oturum aç. 26 (7): 83–91. Arşivlenen orijinal (PDF) 24 Eylül 2006.
  27. ^ Microsoft'un Noktadan Noktaya Tünel Protokolünün Kriptanalizi. Schneier.com (7 Temmuz 2011). Erişim tarihi: 2013-01-31.
  28. ^ Grassi, Paul A (Haziran 2017). "SP 800-63B-3 - Dijital Kimlik Yönergeleri, Kimlik Doğrulama ve Yaşam Döngüsü Yönetimi". NIST. doi:10.6028 / NIST.SP.800-63b. Alıntı dergisi gerektirir | günlük = (Yardım)
  29. ^ Geleceğe Uyarlanabilir Bir Parola Şeması. Usenix.org (13 Mart 2002). Erişim tarihi: 2013-01-31.
  30. ^ MDCrack SSS 1.8. Yok. Erişim tarihi: 31 Ocak 2013.
  31. ^ Modern İşletim Sistemleri için Parola Koruması. Usenix.org. Erişim tarihi: 31 Ocak 2013.
  32. ^ "Parola Karıştırma Yarışması". Arşivlenen orijinal 2 Eylül 2013. Alındı 3 Mart, 2013.
  33. ^ NIST SP800-63B Bölüm 5.1.1.2
  34. ^ "En İyi 10 Şifre Kırıcı". Sectools. Alındı 1 Kasım, 2009.
  35. ^ "Güvende Kalın: Password Crackers Nasıl Çalışır - Keeper Blogu". Keeper Security Blog - Siber Güvenlik Haberleri ve Ürün Güncellemeleri. Eylül 28, 2016. Alındı 7 Kasım 2020.
  36. ^ Anderson, Nate (24 Mart 2013). "Nasıl şifre kırıcı oldum: Şifreleri kırmak artık resmi olarak bir" komut dosyası çocuk "etkinliği". Ars Technica. Alındı 24 Mart 2013.

Dış bağlantılar