彩虹表攻擊在破解所謂的長密碼方面也非常有效。但是,保護自己很容易,我們會告訴您如何做。敬請關注!我們總是被告知要設置長串密碼以提高在線安全性。雖然在某種程度上確實如此,但網絡安全比設置大量字母數字字符要復雜得多。雖然破解長密碼通常是一項艱巨的任務,但如果您有密碼哈希(在下一節中解釋)和所需的彩虹表,這就是小菜一碟。
什么是彩虹表攻擊?
沒有那么復雜(或豐富多彩),彩虹表是匹配常見(或泄露)密碼的哈希數據集(像這樣:免費彩虹表)。要了解它們在在線攻擊中的重要性,我們必須了解密碼的工作原理。密碼數據庫通常以秘密(散列)格式存儲用戶指定的密碼以增加安全性。他們通過使用任何哈希算法加密純文本密碼來實現這一點。
因此,每當我們在任何在線門戶網站(例如 Gmail)中輸入密碼時,它都會創建一個哈希值并根據保存的哈希值進行檢查。如果生成的哈希值與數據庫中的哈希值匹配,我們就成功登錄了。
防止彩虹表攻擊的步驟
彩虹表攻擊是哈希數據庫受損的結果。黑客要么直接訪問它,要么利用暗網上已有的任何東西。無論如何,抵御此類攻擊的安全性取決于您和密碼數據庫管理員。
作為個人,您可以:
- 設置唯一的密碼并不斷檢查其狀態以防止暗網泄露。您可以使用暗網監控工具來執行此操作,這有助于驗證憑據是否已泄露。隨后,更改特定密碼以確保安全。
- 更好的是使用多因素身份驗證。它為強大的安全性等式增加了一個變量。可以簡單地使用身份驗證器應用程序或Yubikey等硬件安全工具。
- 但是,最好的方法是無密碼身份驗證。可以說,它們比使用密碼更安全。沒有密碼,沒有密碼破解。這可以通過使用神奇的登錄鏈接、TOTP、生物識別等來實現。不過,并非所有在線門戶網站都擁有如此先進的登錄基礎設施。但如果可用,請使用它們。
還有一些主要針對密碼管理系統的東西。
- 在散列之前向密碼添加鹽(額外字符)使它們獨一無二,從而使可用的彩虹表變得無用。此外,鹽不應該包括頂級隨機性的用戶名。
- 人們應該避免部署過時的哈希算法,如 MD5、SHA1 等。相反,SHA256 或 SHA512 目前是更好的選擇,直到出現更安全的算法。
- 此外,可以通過用鹽和原始密碼重新散列第一個散列來增強存儲的散列。該過程可以重復多次,由于計算限制,黑客攻擊的難度呈指數級增長。
彩虹表攻擊仍然是一種威脅嗎?
隨著加鹽哈希成為新常態,這些攻擊越來越過時。此外,高級哈希算法越來越普遍,使彩虹表攻擊成為過去。因為自己創建一個彩虹表是非常困難的。并且攻擊者通常僅限于可用的彩虹表,如果采取了列出的預防措施,這將毫無用處。
包起來
網絡安全是我們與互聯網之間的持續斗爭。您不能放松警惕,了解最新的最佳實踐是件好事。盡管彩虹表攻擊在當前情況下可能無關緊要,但列出的措施值得注意并立即應用。
