写点什么

160 秒搞定——用 Rainbow Hash 破解密码

  • 2007-09-13
  • 本文字数:1369 字

    阅读完需:约 4 分钟

Jeff Atwood 最近撰文提到一个被称为“ Rainbow Hash 破解法”的密码破解技巧。这种技巧,一个字典攻击(dictionary attack)的变种,依赖于一种快速搜索机制从而针对一些预先计算出来的 hash 值进行表格查找。Jeff 由审视密码存储的形势入手,指出密码无论何时也不应该以明文保存:

密码永远不要保存成明文。 至少是不应该这么做,除非你是用世界上最小儿科的程序员们构建一个全世界最不安全的系统。相反的,密码要存储成某个 hash 函数的输出。hash 是单向操作。即使一个攻击者获得权限看到你经过 hash 的密码,也不可能只从 hash 值重建密码。

Rainbow 表方法是预先算出 hash 值,通过创建很大的表格而节省时间:

但是有可能通过rainbow 表去攻击密码的 hash 值:预先计算出来的数量庞大的 hash 值,涵盖所有可能的字符组合。一台攻击 PC 当然可以凭空计算所有这些 hash,但借助一个预计算 hash 值的海量表带来的优势,就会使攻击进程加快好几个数量级。——假定用来攻击的机器有足够内存可以把整张表(至少其大部分)都保存在主存里。

Ophcrack ,一个 Windows 密码破解工具,正是利用了 Rainbow 表技巧。在一台 Windows XP 机器上,Jeff 用 ophcrack 附带的最小的(388Mb)表以 3 分钟找出了五个密码中的两个。这个表包括大小写混合字母以及数字(大约 800 亿 hash 值),并能够破解 99.9% 的 Windows LanManager 密码。Jeff 忠告说 LM hash 支持应该默认被禁用,这种微软早期加密机制在 Rainbow 表攻击面前非常脆弱:

我震惊于遗留的 Lan Manager 支持“特性”仍旧在 Windows Server 2003 中默认启用。高度建议禁用 Lan Manager hash ,特别是在保存着域中每个用户的认证信息的 Windows 服务器上。

LM Hash 容易被此类攻击攻破,是因为它没有使用现今常用的给加密过程引入“salt”的方式。加密的密码如果不使用 salt,通过反向检索找到明文密码就相对简单。

但是当一个远程黑客从服务器或者数据库拿到了一长串 hash 过的密码时,我们就有麻烦了。Rainbow 表攻击是严重的风险。这就是为什么你无论何时都不该仅仅依赖 hash——永远给 hash 加些 salt 以获得独一无二的 hash 结果值。

“salt”由一些随机数据位组成,用于和密码同时输入 hash 函数,而从以下两个主要方面缓解风险:

  • 它使得 hash 值有所加长,并有可能加入表生成过程所用字符集以外的字符
  • 由于每个用户的 salt 都是不同的,实际上每个密码需要一个独立的 Rainbow 表

这两项都显著增加了破解每个和全部密码所需要的时间。继 Jeff 的文章之后,Thomas Ptacek 撰文“ Rainbow 表讨论得够多了:关于安全密码方案你需要知道些什么”指出,击退密码攻击的关键是使用一个加密算法,它相对较慢,而且能够一直慢下去,比如 bcrypt

为什么 bcrypt 是这么大的赢家?请从两方面来考虑这个问题:服务器和攻击者。 首先看服务器:你每小时处理几万个登录,或者说每秒几十个。比起数据库访问、页面刷新和 IO,密码校验是微不足道的。你并不介意密码校验需要花费两倍时间,或甚至是十倍时间,因为密码 hash 并不是瓶颈所在。

现在看看攻击者。很简单,攻击者相当介意密码校验要花费两倍时间。如果一次密码校验需要两倍时间,那整个密码破解时间也要两倍。

Jeff 得出结论,保护你的密码免于 Rainbow 表攻击的解决方案就是向你的密码中加入 salt。

查看英文原文 http://www.infoq.com/news/2007/09/rainbowtables

2007-09-13 11:263207

评论

发布
暂无评论
发现更多内容

Redis开发常用规范

爱好编程进阶

Java 面试 后端开发

SSM 最简单最全面的整合Spring+SpringMVC+Mybatis三大框架 快速搭建

爱好编程进阶

Java 面试 后端开发

JAVA 最常用实用的正则表达式校验

爱好编程进阶

Java 面试 后端开发

JAVA8之后的版本履历

爱好编程进阶

Java 面试 后端开发

Spring Cloud入门教程-使用Hystrix Dashboard 监控熔断器的状态

爱好编程进阶

Java 面试 后端开发

阿里云视频云人脸生成领域最新研究成果入选CVPR2022

阿里云视频云

计算机视觉 视频编码 CVPR 视频云

Tiger DAO VC:DAO组织风险投资时代来临

西柚子

RadonDB MySQL on K8s 2.1.4 发布!

RadonDB

MySQL 数据库 Kubernetes 高可用 RadonDB

mysql sql语句大全

爱好编程进阶

Java 面试 后端开发

美区块链公司Espresso Systems口碑滑坡:知识产权、团队道德皆陷丑闻

小哈区块

如何成为元宇宙最初的少数人?

博文视点Broadview

SpringBoot+WebSocket实时监控异常

爱好编程进阶

Java 面试 后端开发

SpringBoot系列:RabbitMq讲解与示例

爱好编程进阶

Java 面试 后端开发

【并发编程系列1】Thread生命周期及interrupted()作用分析

爱好编程进阶

Java 面试 后端开发

【源码分析设计模式 10】SpringMVC中的建造者模式

爱好编程进阶

Java 面试 后端开发

Mybatis源码解析:sql参数处理,原来可以这么简单-1

爱好编程进阶

Java 面试 后端开发

Nginx主要功能及使用

爱好编程进阶

Java 面试 后端开发

理想汽车 x StarRocks:为 Hive 数据查询插上极速之翼!

StarRocks

大数据 数据分析 StarRocks

Redis高可用之主从复制实践

爱好编程进阶

Java 面试 后端开发

小程序能当成 App 吗?

FinClip

【并发编程系列10】阻塞队列之SynchronousQueue

爱好编程进阶

Java 面试 后端开发

STM32+华为云IoTDA,带你设计一个属于自己的动态密码锁

华为云开发者联盟

stm32 iotda 华为云IoT 密码锁 Qt框架

Java集合框架(四)

爱好编程进阶

Java 面试 后端开发

MyCat教程【简单介绍】

爱好编程进阶

Java 面试 后端开发

MySQL最全整理(面试题+笔记

爱好编程进阶

Java 面试 后端开发

Vue 学习笔记(3)路由的基本使用 结合 SpringBoot

爱好编程进阶

Java 面试

《零基础》MySQL 连接(四)

爱好编程进阶

Java 面试 后端开发

Spring Cloud Gateway过滤器精确控制异常返回(实战,控制http返回码和message字段)

爱好编程进阶

Java 面试 后端开发

TASKCTL调度服务(主/从)代理节点的启动和停止

TASKCTL

数据仓库 kettle 调度引擎 ETL 调度任务

Spring(十)

爱好编程进阶

面试 后端开发Java

简单实用的redis分布式锁

Rubble

4月日更 4月月更

160秒搞定——用Rainbow Hash破解密码_Java_Gavin Terrill_InfoQ精选文章