رینبو میزیں: آپ کے پاس ورڈ کا سب سے برا خواب

ان کا پیارا نام آپ کو بیوقوف نہ ہونے دو، یہ چیزیں خوفناک ہیں.

جب آپ رینبو ٹیبلز کو eclectic رنگا رنگ فرنیچر کے طور پر سوچ سکتے ہیں، وہ وہ لوگ نہیں ہیں جو ہم بات کرنے جا رہے ہیں. رینبو میزیں جو ہم بات کر رہے ہیں پاس ورڈ کو کچلنے کے لئے استعمال کیا جاتا ہے اور ہیکر کی بڑھتی ہوئی ہتھیاروں میں ابھی تک ایک اور آلہ موجود ہے.

ہیک رینبو میزیں کیا ہیں؟ اس طرح کی ایک خوبصورت اور cuddly نام کے ساتھ کس طرح کچھ کر سکتے ہیں اتنی نقصان دہ ہو؟

رینبو میزیں کے پیچھے بنیادی تصور

میں ایک برا آدمی ہوں جس نے سرور یا ورکسٹیشن میں صرف ایک انگوٹھے ڈرائیو کو پلگ ان کیا ہے، اسے دوبارہ ریبوڈ کیا اور اس پروگرام کو بھاگ لیا جس میں سیکورٹی ڈیٹا بیس فائل کا استعمال ہوتا ہے جس میں صارف کے نام اور پاس ورڈ میرے انگوٹھے ڈرائیو پر مشتمل ہے.

فائل میں پاسورڈ خفیہ کاری ہیں لہذا میں انہیں نہیں پڑھ سکتا. مجھے فائل (یا کم سے کم ایڈمنسٹریٹر کا پاسورڈ) میں پاس ورڈ کو توڑنا پڑے گا تاکہ میں ان کا نظام تک رسائی حاصل کرسکوں.

پاس ورڈ کو توڑنے کا اختیار کیا ہے؟ میں کوشش کرتا ہوں اور ایک طاقتور پاسورڈ کریکشن پروگرام جیسے جان راپر، جو پاس ورڈ کے ہر ممکنہ مجموعہ کا اندازہ لگانے کی کوشش کر رہا ہے، پاسورڈ فائل پر پھنس جاتا ہے. دوسرا اختیار یہ ہے کہ پاسورڈ کریکنگ لغت جس میں سینکڑوں ہزار عام استعمال کردہ پاس ورڈ موجود ہو اور دیکھیں کہ یہ کوئی ہٹ جاتا ہے. پاس ورڈز کافی مضبوط ہوتے ہیں تو یہ طریقوں ہفتوں، مہینے، یا یہاں تک کہ سال لگ سکتے ہیں.

جب ایک پاسورڈ "سسٹم" کے خلاف "کوشش" ہے، تو یہ خفیہ کاری کا استعمال کرتے ہوئے "دھوکہ" ہے تاکہ اصل پاسورڈ کبھی بھی مواصلات لائن میں واضح متن میں نہیں بھیجۓ. یہ پاسورڈ کو روکنے سے بچنے والوں کو روکتا ہے. ایک پاس ورڈ کا ہیش عام طور پر ردی کی ٹوکری کا شکار ہوتا ہے اور عام طور پر عام پاس ورڈ سے مختلف لمبائی ہے. آپ کا پاس ورڈ شاید "شطنو" ہوسکتا ہے لیکن آپ کے پاس ورڈ کا ہسنگ کچھ "7378347eedbfdd761619451949225ec1" کی طرح نظر آئے گا.

صارف کو توثیق کرنے کے لئے، ایک نظام کلائنٹ کے کمپیوٹر پر پاس ورڈ ہنگھائی فنکشن کی طرف سے تخلیق ہوش کی قیمت لیتا ہے اور سرور پر ایک ٹیبل میں ذخیرہ شدہ ہیش کی قیمت پر موازنہ کرتا ہے. اگر ہیک مچ تو، صارف کو مستند اور رسائی حاصل کی جاتی ہے.

پاس ورڈ ایک ہیکنگ ایک 1 طریقہ کار ہے، مطلب یہ ہے کہ آپ ہیش کو خفیہ نہیں کر سکتے ہیں کہ پاس ورڈ کا واضح متن کیا ہے. ایک ہی پیدا ہونے کے بعد ہیش کو روکنے کی کوئی کلیدی نہیں ہے. اگر آپ چاہیں تو "ڈوڈیر انگوٹی" نہیں ہے.

لاگ ان کے عمل کے ساتھ ہی پاس ورڈ کریکنگ پروگرام اسی کام میں کام کرتی ہیں. کریکنگ پروگرام پر مشتمل پاسورڈ پاس ورڈز کی طرف سے شروع ہوتا ہے، انہیں ایک ہیش الگورتھم کے ذریعہ چلاتا ہے، جیسے MD5، اور پھر چوری والے پاس ورڈ فائل میں ہیک کے ساتھ ہیش پیداوار کی موازنہ کرتا ہے. اگر یہ ایک میچ ملتا ہے تو اس پروگرام میں پاس ورڈ ٹوٹ گیا ہے. جیسا کہ ہم نے پہلے کہا، یہ عمل بہت لمحہ وقت لے سکتا ہے.

رینبو میزیں درج کریں

رینبو میزیں بنیادی طور پر حالیہ اقدار کے ساتھ بھرا ہوا precomputed میزوں کے بڑے سیٹ ہیں جو ممکنہ مدنظر پاس ورڈز سے پہلے ملا ہے. رینبو میزیں لازمی طور پر ہیکرز کو ہنگھائی فنکشن کو ریورس کرنے کی اجازت دیتا ہے کہ اس بات کا تعین کرنے کے لئے کہ کونسل میں پاسورڈ ہوسکتا ہے. یہ ہی ہی ہی ہی ہی ہیش میں دو مختلف پاس ورڈز کے لئے ممکن ہے لہذا یہ ضروری نہیں ہے کہ اصل پاس ورڈ کیا تھا، جب تک کہ اس ہی ہیش کا تعلق ہے. ادھر پاس ورڈ پاس ورڈ بھی ایسا ہی پاس ورڈ نہیں ہوسکتا ہے جو صارف کی طرف سے بنایا گیا تھا، لیکن جب تک ہیش مل جاتا ہے، تو اس سے کوئی فرق نہیں پڑتا کہ اصل پاس ورڈ کیا تھا.

رینبو میزیں کا استعمال براٹس فورس طریقوں کے مقابلے میں بہت کم وقت میں پاسورڈ کرنے کی اجازت دیتا ہے، تاہم، تجارت بند یہ ہے کہ یہ رینبو میزیں خود کو ذخیرہ کرنے کے لئے بہت سارے اسٹوریج (کبھی کبھی ٹربائٹس) لیتا ہے، ان دنوں کو ذخیرہ بہت سستا اور سستا ہے لہذا یہ تجارت ایک معاہدے کے طور پر بڑا نہیں ہے کیونکہ یہ ایک دہائی پہلے ہی تھا جب ٹربیابیٹ ڈرائیوز ایسی چیز نہیں تھی جو آپ مقامی بیڈ خریدیں گے.

ہیکرز ونڈوز ایکس پی، وسٹا، ونڈوز 7، اور MD5 اور SHA1 کا استعمال کرتے ہوئے ان کے پاس ورڈ ہیش میکانیزم (بہت سارے ویب ایپلی کیشنز ڈویلپرز اب بھی ان ہیشنگ الگورتھم استعمال کرتے ہیں) کے طور پر خطرناک قابل آپریٹنگ سسٹم جیسے پاس ورڈز کو توڑنے کے لئے تیار شدہ رینبو میزیں خرید سکتے ہیں.

رینبو میزیں کے بنیاد پر اپنے آپ کو کیسے بچاؤ - بنیاد پر پاس ورڈ حملے

ہم چاہتے ہیں کہ اس پر سب کے لئے بہتر مشورہ ملے. ہم یہ کہنا چاہیں گے کہ ایک مضبوط پاسورڈ مدد کرے گا، لیکن یہ واقعی سچ نہیں ہے کیونکہ اس کا مسئلہ یہ ہے کہ پاسورڈ کی کمزوری نہیں ہے، یہ ایک ہی پاس ورڈ کو خفیہ کرنے کے لئے استعمال ہونے والی ہنگھائی تقریب کے ساتھ منسلک کمزوری ہے.

ہم سب سے بہترین مشورہ دینے والے صارفین کو ویب ایپلی کیشنز سے دور رہنا پڑتا ہے جو آپ کے پاس پاسورڈ کی لمبائی کی مختصر تعداد میں محدود ہے. یہ خطرناک قابل پرانے اسکول پاسورڈ کی تصدیق کے معمولات کا واضح نشان ہے. توسیع پاس ورڈ لمبائی اور پیچیدگی تھوڑی مدد کر سکتی ہے، لیکن تحفظ کی ضمانت شدہ شکل نہیں ہے. اب آپ کا پاس ورڈ یہ ہے کہ رینبو میزیں اس کو درپیش کرنا پڑے گا، لیکن بہت ہی وسائل کے ساتھ ہیکر اسے ابھی تک پورا کر سکتا ہے.

رینبو میزیں کے خلاف دفاع کرنے کے بارے میں ہماری مشورہ واقعی ایپلیکیشن ڈویلپرز اور سسٹم منتظمین کے لئے ہے. جب وہ اس قسم کے حملے کے خلاف صارفین کی حفاظت کے لئے آتا ہے تو وہ سامنے کی لائنز پر ہیں.

رینبو ٹیبل کے حملوں کے خلاف دفاع کرنے پر کچھ ڈویلپر کی تجاویز ہیں:

1. آپ کے پاس ورڈ ہینڈنگ تقریب میں MD5 یا SHA1 استعمال نہ کریں. MD5 اور SHA1 پرانے پاسورڈ ہنگھگھڈس ہیں اور پاس ورڈ کو کچلنے کے لئے استعمال ہونے والے سب سے زیادہ اندردخش کی میزیں ان ہیشنگ طریقوں کو استعمال کرکے ایپلی کیشنز اور نظام کو نشانہ بنانا بنائے جاتے ہیں. SHA2 کی طرح جدید جدید ہیش طریقوں کا استعمال کرتے ہوئے غور کریں.
2. آپ کے پاسورڈ ہنگامی معمول میں cryptographic "نمک" کا استعمال کریں. اپنے پاس ورڈ ہنگھائی فنکشن میں کریٹگرافک نمک شامل کرنے میں آپ کی درخواست میں پاس ورڈ کو کچلنے کے لئے رینبو ٹیبلز کے استعمال کے خلاف دفاعی مدد ملے گی. "رینبو پروف" کی مدد کرنے کے لئے ایک کرپٹیٹوگرافک نمک استعمال کرنے کے بارے میں کچھ کوڈنگ کی مثالیں ملاحظہ کرنے کے لئے براہ کرم ویب ماسٹرز ڈیزائن ڈیزائن سائٹ کی جانچ پڑتال کریں جس میں موضوع پر بہت اچھا مضمون ہے.

اگر آپ دیکھنا چاہتے ہیں کہ ہیکرز رینبو ٹیبلز کا استعمال کرتے ہوئے ایک پاس ورڈ حملہ کرتے ہیں تو، آپ اپنے اپنے پاس ورڈوں کو بحال کرنے کے لئے ان تکنیکوں کو کس طرح استعمال کرنے کے بارے میں یہ بہترین مضمون پڑھ سکتے ہیں.