6

辞書攻撃と言うとき、実際の辞書を意味しているわけではありませんよね? 私の推測では、ハッカーの辞書、つまりレインボー テーブルを意味しているのではないでしょうか。

要点は、ログイン ボックスに別のパスワードを入力している誰かについて話しているのではなく、データベースへのフル アクセス権を持っている誰か (単純なパスワードではなくハッシュ化されたパスワードを持っている) について話しているということです。この人はハッシュを逆にしています。 ?

4

4 に答える 4

9

多くの場合、パスワードは暗号化の中で最も攻撃されやすい部分であるため、実際には一種の本物の辞書です。人々は怠け者で、適切な単語をパスワードとして選択するか、それらからパスフレーズを作成すると想定されています。ただし、辞書には、一般的に使用される非単語や文字と数字の組み合わせなど、他のものを含めることができます。基本的に、不適切に選択されたパスワードである可能性が高いすべてのもの。

ユーザーのパスワードがある時点で平文でメモリに (そしてページファイルに) 入れられた、またはテキストがドライブ1に保存されている場合、それは単にコーパスに存在します。

それでも、これは実際には問題にならないかもしれません。AccessData は、Forensic Toolkit という別のプログラムを販売しています。このプログラムは、とりわけ、ハード ドライブをスキャンしてすべての印刷可能な文字列を探します。ドキュメント、レジストリ、電子メール、スワップ ファイル、ハード ドライブ上の削除された領域など、あらゆる場所を調べます。そして、それから辞書を作成し、PRTK にフィードします。

そして PRTK は、この辞書だけでパスワードの 50% 以上を解読します。

実際、人々が通常どのようにパスワードを作成するかについての知識を含めても、辞書をより効果的にすることができます. Schneier はこれについて長々と語っています1 :

  • 常用単語辞書:5,000項目
  • 名前辞書: 10,000 エントリ
  • 総合辞書:10万項目
  • 発音パターン辞書:1/10,000の網羅的な文字検索

発音パターン辞書が面白い。これは実際には辞書ではありません。これは、指定された長さの発音可能な英語の文字列を生成するマルコフ連鎖ルーチンです。たとえば、PRTK は非常に発音しやすい 6 文字の文字列、またはほとんど発音できない 7 文字の文字列の辞書を生成してテストできます。彼らは、他の言語の生成ルーチンに取り組んでいます。

PRTK は、4 文字列の徹底的な検索も実行します。小文字 (最も一般的)、最初は大文字 (2 番目に一般的)、すべて大文字、最後は大文字で辞書を実行します。これは、"s" の "$"、"a" の "@"、"l" の "1" など、一般的な置換を使用して辞書を実行します。「e」の「3」など、「leet speak」のすべてがここに含まれます。

付属辞書には、次のようなものが含まれます。

  • すべての 2 桁の組み合わせ
  • 1900 年から 2006 年までのすべての日付
  • すべての 3 桁の組み合わせ
  • すべての単一記号
  • すべて 1 桁、および 1 記号
  • すべての 2 つのシンボルの組み合わせ

1 Bruce Schneier:安全なパスワードの選択。中: セキュリティに関するシュナイアー。( URL )

于 2009-10-10T10:36:44.817 に答える
4

辞書を投げたら痛いよね?

しかし、そうです、辞書攻撃は単語のリストを使用します。それらは、辞書、または一般的なフレーズまたはパスワードのリスト (たとえば、'123456') から派生している可能性があります。

ただし、レインボー テーブルはディクショナリとは異なります。これは、指定されたハッシュ関数の逆引きであるため、ハッシュがわかっている場合は、そのハッシュを生成する文字列を特定できます。たとえば、あなたのパスワードの MD5 ハッシュが e10adc3949ba59abbe56e057f20f883e であることを知っていた場合、レインボー テーブルを使用して 123456 ハッシュがその値であることを確認できます。

于 2009-10-10T10:40:53.980 に答える
3

「辞書攻撃」は通常、「辞書」を使用してパスワードを推測しようとする試みを指します。つまり、一般的に使用されるパスワードの長いリストであり、通常、人々が怠惰にパスワードとして設定する可能性のある単語または単語の組み合わせに対応しています。レインボー テーブルは、実際の平文パスワードを指定してパスワードを推測しようとする代わりに、パスワード ハッシュがあり、パスワードを推測したい場合に使用されます。一般的に使用されるパスワードのハッシュを指定し、それらを自分が持っていたパスワード ハッシュと照合して、パスワードが何であるかを判断するために一致を取得しようとします。

于 2009-10-10T10:38:23.227 に答える
2

辞書攻撃は、攻撃者が通常の辞書から単語を試す攻撃です。多くの人は、辞書に載っている単純なパスワードを使用するためです。

ウィキペディア:辞書攻撃.

于 2009-10-10T10:36:53.930 に答える