آناتومی نفوذ در وب

آناتومی نفوذ در وب

آناتومی نفوذ

از ۳ متخصص نفوذ نیز برای حمله به لیستی مشابه لیست اندرسون درخواست شد و نتایج را با جزئیاتی بیشتر برگردانده شد. نتیجه اینکه، پسوردهای طولانی تنها با حروف، اعداد و علائمی که قابل رمزگشایی هستند نشان داده می­ شوند.

امنیت در وب سایت 

چگونه نفوذگران پسوردهایی مانند “qeadzcwrsfxv1331” را جستجو می ­کنند؟

درماه مارس، آقای اندرسون، معاون سردبیر مجله ARS لیستی بالغ بر ۱۶/۰۰۰ پسورد هش شده را دانلود کرد. در کمتر از یک ساعت، نیمی از آنها را کشف رمز کرد.

این لیست شامل ۱۶۴۴۹ پسورد تبدیل شده به هش با استفاده از تابع MDS hash می ­باشد. این در حالی است که   وب­ سایت ­های ایمنی هرگز پسوردها را به صورت متن ساده ذخیره نمی ­کنند. در عوض، آنها تنها با هش­های یک­طرفه کار می­ کنند که قادر به برگشت به حروف، اعداد و علائم انتخاب شده توسط کاربر نمی­ باشند. در یک نفوذ امنیتی که داده پسورد ارائه می ­شود، نفوذگر با دقت باید متن ساده هر hash را حدس بزند، آنها باید “sf4dcc3bsaa76sd61d8327deb882cl99” و “۷c6a180b36896a0a8c02787eeafb0e4c”  که “password” و “password1” به صورت MDS hash ذخیره شده ­اند را حدس بزنند.

زمانی که اندرسون میزان ۴۷ درصدی موفقیت در نفوذ را کسب کرد، در مقایسه با چیزی که نفوذگران به طور واقعی می­ توانند انجام دهند بسیار ناچیز می ­باشد که در طراحی سایت.

برای اثبات این موضوع، لیست مشابهی به نفوذگران ارائه شد و با حداقل سخت ­افزار و در صورت زمان یک ساعت از آنها خواسته شد تا لیستی از کلمات را استفاده کنند و در این مدت ۶۲ درصد پسوردها کشف رمز شد.

تیم پسورد ARS شامل توسعه دهندگان نفوذ به نرم ­افزارها، آناتومی نفوذ در وب مشاوران امنیتی و غیره می ­باشد که با استفاده از یک کامپیوتر معمولی با کارت گرافیکی ۷۹۷۰، AMD radeon در ۲۰ ساعت ۱۴۷۳۴ پسورد hash شده با میزان موفقیت ۹۰ درصدی را بدست آورده. Jens steube رهبر توسعه ­دهنگان موفق شد به تنهایی ۸۲ درصد پسوردهای hash شده را در کمتر از یک ساعت بدست آورد.

لیست “متن ساده” که بسیاری از نفوذگران hash آنها را کشف می­ کنند شامل لیست معمولی مفید استفاده شده پسوردها است که در بسیاری از وب­ سایت­های مصرف­ کننده یافت می ­شوند. “۱۲۳۴۵” ، “۱۲۳۴۵۶۷” و “password” نمونه­ای از آنها هستند. علاوه بر آنها، “p@$$word”، “۱۲۳۴۵۶۷۸۹j”، “letmein1!” نیز بسیار پسوردهای بدی هستند.

آناتومی نفوذ در طراحی سایت

رادیکس که نام واقعی خود را فاش نکرد اعلام می­ کند که این پسوردها به شدت ضعیف هستند. بنابراین نیازمندی­های پیچیده­ای برای آنها وجود ندارد. Hashing تنها با استفاده از MDS به این معناست که پسوردهای آنها خیلی با اهمیت نیستند.

همانند الگوریتم­های SHA1، SHA3 و غیره، MDS برای تبدیل پسوردهای متن ساده به hash معروف به message digests با کمترین میزان محاسبه طراحی می ­شوند. در واقع، الگوریتم­ها به طور خاص برای محافظت از پسوردها برای مدت زمان طولانی و محاسبه بیشتر. به عنوان مثال، SHAS12crypt به طور پیش­ فرض در سیستم­های عامل MAC و یونیکس شامل این بخش می­ باشد که پسورد ۵۰۰۰ بار hash گذاری می ­شوند. این مانع، سیستم آناتومی نفوذ در وب به کمتر از ۲۰۰۰ میهمان در یک ثانیه را محدود می­ کند.

متغیر دیگر، تصمیم گیرنده حساب کاربری برای استفاده از کلمات خاطره ­انگیز می­ باشد. افرادی که از پسوردهایی همانند “mom of 3gskids” و “Oscar+emmy” برای سادگی بخاطر سپاری استفاده می­ کنند به آنها امکان هک شدن را فراهم می سازد. اجزای اصلی آنها “mom”، “kids”، “Oscar”، “emmy” اعداد می ­باشد که در هسته اصلی لیست نفوذ به پسوردهایی اصلی قرار دارند.

در روزهای آتی، به تشریح آناتومی نفوذ به پسوردها و از بین بردن hashها می ­پردازیم.

مشاهده بیشتر مقالات وب سایت

نمایش همه پست ها