Πάπαρης Κίμωνας – Ε13146 Παναγιωτίδης Γεώργιος - Ε13143 Πάτσης Χαράλαμπος – Ε13152

Password Είναι μια αλληλουχία αλφαριθμητικών χαρακτήρων και συμβόλων που απαιτείται από κάποιο ηλεκτρονικό σύστημα ή υπηρεσία, πχ Η/Υ, ΑΤΜ, κτλ., για να αποκτήσει κάποιος πρόσβαση σε αυτό. Ένα password εξασφαλίζει ότι μόνο εξουσιοδοτημένοι χρήστες μπορούν να αποκτήσουν πρόσβαση σε αυτά τα συστήματα και υπηρεσίες.

Password & καθημερινή ζωή. Άνοιγμα κινητού (sim) ΑΤΜ/πιστωτική κάρτα Εύδοξος/students.unipi Μέσα κοινωνικής δικτύωσης (Facebook, Twitter κ.α.) E-banking Taxisnet Οποιοδήποτε site που ζητάει αυθεντικοποίηση για να προσφέρει οποιαδήποτε υπηρεσία.

Password Cracking Πρόκειται για μια διαδικασία, όπου ένας χρήστης, μη έχοντας τα δεδομένα που επιθυμεί, προσπαθεί να τα αποκτήσει, βρίσκοντας τον κωδικό που τα περιέχει. Όμως, με ποιον τρόπο χρησιμοποιείται; Αυτή η διαδικασία, άλλοτε είναι κακόβουλη και άλλοτε χρησιμοποιείται με ορθό τρόπο, παραδείγματος χάρη για την ανάκληση ενός ξεχασμένου κωδικού.

Brute Force Attack Πρόκειται για μια μέθοδο εύρεσης κωδικού, που ο χρήστης προσπαθεί να ανακαλύψει έναν κωδικό, μαντεύοντάς τον. Στην ουσία, ο επιτιθέμενος ψάχνει να βρει τον κωδικό που χρειάζεται με εξαντλητική δοκιμή όλων των πιθανών συνδυασμών- κωδικών. Ο τρόπος αυτός, ωστόσο, δεν είναι αποδοτικός, γιατί υπάρχουν περιπτώσεις, που ο κωδικός ενδέχεται να είναι μεγάλος και περίπλοκος, οπότε η διαδικασία αυτή μπορεί να διαρκέσει μέχρι και χρόνια.

Λειτουργία της Brute Force Attack Τέτοιου είδους επιθέσεις, οι οποίες χρησιμοποιούν όλα τα δυνατά κλειδιά, μπορούν πάντοτε να πραγματοποιηθούν. Συχνά όμως, ο επιτιθέμενος, ξεκινά την επίθεση χρησιμοποιώντας πιο “πιθανά”, κατά την άποψή του κλειδιά προσπαθώντας με αυτό τον τρόπο να βρει το κλειδί πιο γρήγορα. Η αναζήτηση σταματάει μόλις βρει το κλειδί.

Dictionary Tables/Attacks

Dictionary Tables Δεν άργησε να γίνει αντιληπτό, ότι πολλοί χρήστες συχνά είχαν τους ίδιους κωδικούς(password), οι οποίοι ήταν απλές λέξεις και αριθμοί. Κατά συνέπεια, δημιουργήθηκαν τα λεγόμενα “λεξικά (dictionaries)”,που αποτελούν τις λίστες με τις πιο συνηθισμένες λέξεις-κλειδιά(dictionary tables), που χρησιμοποιούνται από τους χρήστες ως κωδικοί.

Μέθοδοι για την επιτυχία μιας Dictionary-Attack Η πρώτη μέθοδος για την επιτυχία μιας επίθεσης λεξικών είναι να χρησιμοποιηθεί ένα μεγαλύτερο-ευρύτερο λεξικό, ή περισσότερα λεξικά. Η χρήση τεχνικών λεξικών, καθώς και λεξικών ξένης γλώσσας θα αυξήσουν την πιθανότητα για την εύρεση του σωστού κωδικού. Η δεύτερη μέθοδος έχει να κάνει με την εκτέλεση του χειρισμού σειράς στο λεξικό. πχ. το λεξικό μπορεί να έχει τη λέξη «password». Οι κοινές τεχνικές θα δοκιμάσουν τη λέξη προς τα πίσω (drowssap), ή με τις κοινές αντικαταστάσεις αριθμών-επιστολών (p4ssw0rd).

Ουσιαστικά, το dictionary attack και το brute-force είναι δύο κοντινές έννοιες, αφού έχουν την ίδια λογική, εννοώντας ότι η πρώτη αποτελεί μια οργανωμένη εκδοχή της δεύτερης. Αναμφίβολα, οι άνθρωποι επιλέγουν να διαλέξουν εύκολους και μικρούς κωδικούς προς χρήση, γι αυτό και η επίθεση γίνεται ολλές φορές αρκετά γρήγορα, μέσω της καθοδήγησης των dictionary tables.

Rainbow Tables Ορισμός: Ένα Rainbow Table είναι ένας πίνακας αναζήτησης που προσφέρει time-memory trade off και το χρησιμοποιούμε για την ανάκτηση ενός κωδικού πρόσβασης από ένα hash password ο οποίος έχει δημιουργηθεί από μία hash function.

Time-Memory trade off Είναι μια κατάσταση στην οποία ο χρόνος υπολογισμού ενός κωδικού μπορεί να μειωθεί με κόστος την αυξανόμενη χρήση μνήμης, ή και το αντίστροφο. Οι σχετικές δαπάνες της CPU, RAM και του σκληρού δίσκου αλλάζουν. Έτσι λοιπόν, με κατάλληλες επιλογές space time, μπορεί να αλλάξει η πολυπλοκότητα του προβλήματος, προς όφελος του χρήστη.

Salt Μια κοινή εφαρμογή των rainbow tables είναι να επιτρέπουν επιθέσεις σε κωδικούς πρόσβασης. Για να γίνει αυτή η επίθεση δυσκολότερη, εφαρμόζουμε στους κωδικούς την τεχνική salt. Το Salt αποτελείται από τυχαία bits που χρησιμοποιούνται σε μία κρυπτογραφική συνάρτηση σαν μία εισοδο, ενώ μία άλλη είσοδος που υπάρχει ειναι ο κωδικός πρόσβασης. Μερικές φορές χρησιμοποιείται σαν κλειδί σε έναν κρυπτογραφικό αλγόριθμο, ενώ άλλες φορές κρατιέται μυστικο.

Ανάλυση των Rainbow Tables Ένα Rainbow Table είναι μία αναπαράσταση ακολουθιών κωδικών πρόσβασης. Κάθε ακολουθία ξεκινάει με έναν αρχικό κωδικό πρόσβασης και στη συνέχεια τον περνάει μέσω μιας hash function κρυπτογραφίας “H”. To hass password που προέκυψε τροφοδοτείται σε μία συνάρτηση ανακατασκευής “R”, η οποία παράγει έναν διαφορετικό κωδικό πρόσβασης. Ο αρχικός κωδικός καθώς και ο τελευταίος που παράχθηκε από την “R” αποτελούν μια είσοδο σε ενα Rainbow Table.

Ανάλυση των Rainbow Tables

Ανάκτηση κωδικού πρόσβασης Η ανάκτηση ενός κωδικού πρόσβασης που χρησιμοποιεί ένα Rainbow Table είναι μια διαδικασία δύο βημάτων: Βήμα 1: Ο hash password χρησιμοποιείται για την δημιουργία αλυσίδας μέσω της reduce-hash ακολουθίας. Η δομή του πίνακα και η λειτουργία της reduction function εγγυώνται ότι το τρέχων hash θα ταιριάζει με το τελικό hash. (με μια από τις αλυσίδες που περιέχονται ήδη στα rainbow tables). Βήμα 2: Η ακολουθία δημιουργίας αλυσίδας επαναλαμβάνεται αρχίζοντας από τον αρχικό κωδικό πρόσβασης έως ότου βρεθεί το αρχικό hash. Ο κωδικός πρόσβασης που χρησιμοποιείται στην τελευταία επανάληψη είναι ο κωδικός πρόσβασης που ανακτάται.

Το περιεχόμενο των rainbow tables δεν εξαρτάται από την είσοδο του αλγορίθμου. Δημιουργείται μια φορά και έπειτα χρησιμοποιείται επανειλημμένα για τον έλεγχο. Η αύξηση του μήκους της αλυσίδας, επιβραδύνει την αναζήτηση και μειώνει το μέγεθος του πίνακα. Αυξάνει το χρόνο που απαιτείται για να κατασκευασθεί μια αλυσίδα, και αυτό είναι η ανταλλαγή χρόνου/μνήμης των Rainbow Tables.

Αποτέλεσμα Το τελικό αποτέλεσμα είναι ένας πίνακας που περιέχει την υψηλότερη πιθανότητα για την ανάκτηση ενός κωδικού πρόσβασης εντός ενός μικρού χρονικού διαστήματος. Η πιθανότητα επιτυχίας του πίνακα εξαρτάται από τις παραμέτρους που χρησιμοποιούνται για να παραχθεί. Αυτοί περιλαμβάνουν: το σύνολο των χαρακτήρων που μπορεί να υπάρχουν σε ένα κωδικό πρόσβασης, το μήκος του κωδικού πρόσβασης, το μήκος των αλυσίδων, καθώς και ο αριθμός των πινάκων.

Ευχαριστούμε πολύ! Ερωτήσεις?