Je lisais quelques articles sur les sels et les hachages de mots de passe et quelques personnes mentionnaient les attaques arc-en-ciel. En quoi consiste exactement une attaque arc-en-ciel et quelles sont les meilleures méthodes pour la prévenir?
Réponses
Trop de publicités?
L'article de wikipedia est un peu difficile à comprendre. En un mot, vous pouvez penser à un arc-en-ciel de la Table comme un grand dictionnaire avec pré-calculé les hachages et les mots de passe à partir de laquelle ils ont été calculés.
La différence entre les Tables arc-en-ciel et d'autres dictionnaires est tout simplement dans la façon dont les entrées sont enregistrées. L'arc-en-ciel de la table est optimisé pour les hachages et les mots de passe, et réalise ainsi une grande optimisation de l'espace tout en conservant un bon coup d'oeil à la rapidité. Mais en substance, c'est juste un dictionnaire.
Quand un attaquant vole une longue liste de mots de passe à partir de vous, il peut rapidement vérifier si l'un d'entre eux sont dans l'arc-en-ciel de la Table. Pour ceux qui le sont, l'arc-en-ciel de la Table contiendra également quelle chaîne, ils ont été hachés de.
Bien sûr, il y a juste trop de hachages pour stocker le tout dans un arc-en-ciel de la Table. Donc, si une table de hachage n'est pas dans la table en particulier, le hacker est hors de la chance. Mais si vos utilisateurs à l'aide de simples mots anglais et que vous avez haché juste une fois, il y a une grande possibilité qu'un bon arc-en-ciel de la Table contiendra le mot de passe.
Zifre
Points
14109
C'est quand quelqu'un utilise une table Rainbow pour déchiffrer les mots de passe.
Si cela vous inquiète, vous devriez utiliser du sel . Il y a aussi une question Stack Overlow qui pourrait vous aider à comprendre le sel un peu mieux que Wikipedia ...
Kieran Hall
Points
2143
Ceci est un article utile sur Rainbow Tables pour le profane. (Cela ne veut pas dire que vous êtes un profane, mais c'est bien écrit et concis.)
Dana Holt
Points
7150
Colin Pickard
Points
23922
Grosso modo, vous crypter un grand nombre de possibles à court texte en clair des chaînes de caractères (c'est à dire pour les mots de passe), et de stocker les valeurs chiffrées à côté le texte en clair. De ce fait, il (relativement) facile de simplement rechercher le texte en clair quand vous avez la valeur chiffrée.
Ce qui est le plus utile pour les faibles et/ou non salées hachage de mots de passe. Un exemple populaire est le hachage LAN Manager, utilisé par les versions de Windows jusqu'à XP pour stocker les mots de passe utilisateur.
Noter qu'une pré-calculée arc-en-ciel de la table, même pour quelque chose d'aussi simple que le LM hash prend beaucoup de temps PROCESSEUR pour générer et occupe une bonne quantité d'espace (de l'ordre de 10s de gigaoctets IIRC).
