簡介
密碼(password)是最廣泛使用的認證系統之一,防止未經授權的用戶訪問系統,無論是離線還是在線。在大多數系統中,密碼是通過加密存儲的,以便爲每個用戶提供安全性。然而,在這些密碼的加密之內,仍然存在漏洞。本文將回顧關於密碼哈希(hash)函數的學術和出版文獻,特別指出MD4,MD5,SHA算法以及在Linux操作系統中使用Salt字符串。
在此之後,洞察密碼破解的方法爲檢驗(reviews),確定字典***,暴力***和彩虹表(Rainbow Table)的使用。本次審查將允許更深入地瞭解安全功能和可能的漏洞在此機制內進行調查後。調查將使用UNIX開發的軟件John Ripper和RainbowCrack來查看最常見的密碼破解方法之一。
John Ripper是一個密碼破解器,它將多密碼密碼破解技術組合到一個程序中,更具體地說,利用字典***和強力方法來識別用戶的密碼,並且可以針對各種密碼加密算法運行。暴力和字典***生成所有可能的明文密碼,因爲它處理和比較哈希與目標哈希,一旦匹配的密碼可以識別。彩虹表***是一種以空間換時間的******方法,它將進行預計算,並把結果存儲在所謂的彩虹表中。
彩虹表(彩虹表如何工作? )包含目標密碼哈希運行直到它達到匹配的純文本/散列鏈的列表。調查將首先主要在Linux操作系統中使用John Ripper ; 對該系統中的密碼文件運行字典/強力***,其使用SHA512算法。在Windows操作系統將調查Rainbow***,以從MD5哈希函數提取密碼。我們將調查這兩個軟件,以允許解釋哈希函數和密碼破解技術在現代操作系統及其中的文件系統。下列調查突出並解釋了使用破解技術作爲訪問用戶系統的手段突出顯示了在***方法和計算機取證中的使用。此外,這將提供對密碼哈希算法的安全功能的進一步瞭解,並識別關鍵計算機網絡安全中的漏洞,允許我們批判性地評估,理解和部署這些方法。
哈希函數(MD4,SHA,MD5和DES)和Salt字符串
所有系統通常都需要使用用戶名和密碼進行身份驗證。解釋了獲得訪問的典型實例分爲兩個階段:
認證(Authentication)- 這是系統檢查標識符的地方; 這可能是一個電子郵件地址或用戶名。然後它將根據系統的密碼文件檢查密碼,如果匹配正確,則允許訪問。
授權(Authorisation)- 這是系統根據其數據庫檢查標識符或密碼,以識別用戶在該系統中的權限級別。
所以大多數系統都以加密格式存儲和發送密碼,以最大限度地防禦潛在的***和漏洞。大多數系統包含使用輸入字符串創建輸出字符串的單向函數。
哈希算法是加密口令的最受歡迎的方法。當用戶以明文形式創建密碼時,它通過散列算法運行以產生存儲在文件系統中的密碼文本。三種最廣泛使用的算法是MD5,SHA和RIPEMD; 然而所有算法都來自MD4的格式
總結了所使用的主要算法:
·MD4:具有3輪16步,輸出位長度爲128位。
·MD5:具有4輪16步,輸出位長128位。
·SHA-1:具有4個20階的步長和160位的輸出位長度。
·RIPEMD-160:具有5輪16步,輸出位長160位。
·SHA-256:具有64輪單步,輸出位長度爲256位。
·SHA-384:實際上與SHA-512相同,除了輸出被截斷爲383位。
·SHA-512:具有80個單步的輪數和512位的輸出位長度。
Linux和Windows之間的安全特性的主要區別是UNIX系統使用Salt
Strings。如(Whitaker和Newman,2005)所述,salt字符串生成隨機生成的值,該值隨着使用密碼哈希處理的每個密碼存儲。這允許爲系統中的每個密碼提供額外的安全性,特別是對於簡單密碼或重用密碼。
調查字典和彩虹***密碼哈希
首先,我們將使用John The Ripper來研究 Linux內字典***和暴力***的功能。大多數Linux系統可以選擇使用哪個哈希函數來存儲密碼,在Linux系統中,使用的哈希算法在文件/etc/login.defs中定義
結論
已經進行了大量研究來檢查在系統中使用密碼哈希所面臨的有效性和漏洞。然而,重要的是要強調,爲了成功破解操作系統中的密碼,如本調查所示;***需要獲得具有目標密碼的哈希值的密碼文件,或者通過在目標上實施分組嗅探。大多數討論的文獻回顧了這樣的事實,即簡單的密碼哈希更容易破解,由於破解複雜密碼的計算處理。正如我們從調查中看到的,使用的密碼和散列算法(例如SHA526)越複雜,由於破解計算所需的時間長度,***者可能會變得越不切實際。在此調查中使用Dictionary和Rainbow***允許我們分析密碼哈希的影響,並比較當密碼破解時可以使用的替代方法。通過對密碼哈希和破解技術的更深入分析,本調查強調,系統中密碼安全的最佳方法是確保包含大寫,小寫,數字和特殊字符的強大的密碼創建。雖然這不能完全防禦這些***,但它確實對***者造成不切實際,可能會起到威懾作用。