Գաղտնաբառի կոտրումը ծածկագրերի վերականգման գործընթաց է, որը պահվում է կամ փոխվում է համակարգչի կողմից։ Գաղտնաբառերի համար փորձվել է մի ընդհանուր մոտեցում։ Օգտվողի նպատակն է կոտրել և վերականգնել մոռացված գաղտնաբառը (չնայած միանգամայն նոր գաղտնաբառի տեղադրումն էլ չի ապահովում լիովին անվտանգությունը), ինչպես նաև չարտոնված մուտք գործել համակարգ, կամ որպես համակարգի խափանման միջոց ստուգել ադմինիստրատորների գաղտնաբառերը։

Ժամանակի անհրաժեշտությունը գաղտնաբառերի որոնման համար խմբագրել

Ժամանակը կապված է գաղտնաբառի կոտրման պրոցեսի հետ (տես գաղտնաբառի ուժ), որը չափում է գաղտնաբառը տեղեկատվական entropy-ով։ Գաղտնաբառ կոտրելու մեթոդների մեծ մասը համակարգչից պահանջում է արտադրել բազմաթիվ թեկնածու ծածկագրեր, որոնցից յուրաքանչյուրն արդեն ստուգված են։. Brute-force կոտրումը, որով համակարգիչը փորձում է ամեն հնարավոր ստեղն կամ գաղտնաբառ մինչև նրան հաջողվում է գտնել ամենացածր ընդհանուր կոտրման հայտարարը։ Գաղտնաբառերի կոտրման ավելի տարածված մեթոդներից են բառարանների հարձակումները, կերպարների ստուգումը, word-ի ցուցակի փոխարինումը, և այլն, որոնք փորձում են նվազեցնել պահանջվող փորձությունների թիվը և ամենակոպիտ ձևերի կիրառումը։

Գաղտնաբառերի կոտրման կարողությունը օգտագործվում է համակարգչային ծրագրերի կողմից նաև որպես հնարավոր գաղտնաբառերի թվային ֆունկցիա, որոնք հնարավոր կլինի ստուգել։ Եթե խանգարել, ապա թիրախային գաղտնաբառը հասանելի կլինի վնասողի համար, նրանց թիվը կարող է բավականին մեծ լինել։ Եթե ոչ, ապա փոխարժեքը կախված է նրանից, թե վավերացման ծրագրային սահմաններում ինչպիսի հաճախությամբ գաղտնաբառը կարող եք փորձել։ Մեկ ուրիշ դեպքում, երբ վնասողը կարող է այդ գործողությունը անել գուշակելով, երբ գաղտնաբառը օգտագործվում է ձևավորված կրիպտոգրաֆիկ ստեղնով։ Նման դեպքերում վնասողը կարող է ստուգել գաղտնաբառային տվյալները կոդավորված են թե ոչ, օրինակ մեկ առևտրային արտադրանքի պահանջարքի փորձարկուման համար օգտագործվում է 103,000 WPA PSK գաղտնաբառը մեկ վայրկյանում[1]։

Անձնական օգտագործման համակարգիչները կարող են քննվել ամեն տեղ մեկ միլիոնից մինչև տասնհինգ միլիոն գաղտնաբառերի միջև մեկ վայրկյանում ընդդեմ hash գաղտնաբառին թույլ ալգորիտմերի համար, ինչպիսին են DES կամ LanManager. See։ John the Ripper benchmarks.[2] Օգտագործողը, որ ընտրել է ութ տառից բաղկացած գատնաբառ, խառը թվերով և սիմվոլներով, հասնում է 30 բիթ ամրության, ըստ NIST. 230 դա միայն մեկ բիլիոն դիրք է, և կտևի միջինը 16 րոպե՝ այն կոտրելու համար[3]։ 2002 թվականին, distributed.net հաջողությամբ հայտնաբերելով 64 բիթ բանալին 4 տարում RC5, փորձ, որը ներառում է գրեթե 300,000 տարբեր համակարգիչներ տարբեր ժամանակաշրջանում, և որը ստեղծում է միջինը 12 բիլիոն բանալի 1 վայրկյանում[4] Graphics processor կարող են արագացնել գաղտնաբառի կոտրումը 50-ից 100 տարբեր նպատակների համակարգիչների։ 201-ից սկսած կոմերցիոն պրոդուկտները ի վիճակի են լինելու թեսթավորել մինչև 2,800,000,000 գաղտնաբառ, մի վայրկյան ստանդարտ համակարգչի համար, օգտագործելով վերջին բարձր մակարդակի պրոցեսոր։ref name=elcomsoft>ElcomSoft Password Recovery Speed table, NTLM passwords, Nvidia Tesla S1070 GPU, accessed 2011-2-1</ref> Այսպիսի սարքը կարող կարող է կոտրել 10 տառ պարունակող հասարակ գաղտնաբառ մի օրում։ Նշենք նաև որ աշխատանքը կարող է կատարվել մի քանի համակարգիչներով, հավելյալ արագությամբ, որը համեմատական է մի շարք առկա համակարգիչների՝ համեմատելի CPU-ներով։

Չնայած նրանց կարողություններին, desktop CPU-ները ավելի թույլ են գաղտնաբառ կոտրելու համար ավելի թույլ են գաղտնաբառի կոտրման համար, քան գաղտնաբառի կոտրման համար ստեղծված մեքենաները։ 1998 թվականին ստեղծված Էլեկտրոնային սահմանամերձ Հիմնադրամը Electronic Frontier Foundation (EFF) նվիրված գաղտնաբառ կոտրողի օգտագործմանը,FPGAs, հակառակ CPU-ների գլխավոր նպատակին. Նրանց մեխանիզմըԽորը կոտրում, ջարդեց DES 56-բիթ բանալին 56 ժամում, փորձելով համարյա 90 բիլիոն բանալիներ 1 վայրկյանում[5]։ In 2010, the Georgia Tech Research Institute developed a method of using GPGPU to crack passwords, coming up with a minimum secure password length of 12 characters.[6][7][8]

Հեշտ է հիշվում, դժվար կռահվում խմբագրել

Օգտագործողի համար ամենահեշտ գաղտնաբառը, որը սովորաբար հեշտ է հիշվում, վնասողի համար ավելի դյուրին կռահելի կլինի[9]։ Գաղտնաբառերը, որոնք դժվար են հիշվում, կմերժվեն համակարգի անվտանգության կողմից, որովհետև (a) օգտվողները կարիք կունենան գրել այն կամ այն պահել էլեկտրոնային տարբերակով։ (b) օգտվողները հաճախակի կարիք կունենան վերականգնել գաղտնաբառը և (c) օգտվողները ավելի շատ ցանկանում են նորից օգտագործել իրենց նույն գաղտաբառը։ Նմանապես, գաղտնաբառի բարդության համար ավելի խիստ պահանջները, օրինակ, "ունենալ մեծատառերի, փոքրատառերի և թվերի խառնուրդ" կամ "փոխել այն ամսական", ամենամեծ աստիճանը, որի դեպքում օգտվողները տապալում են համակարգը[10]։

"Գաղտնաբառի հիշվողությունը և Անվտանգությունը" աշխատությունում[11], Ջեֆ Յանը հետազոտել է խորհրդի էֆֆեկտիվությունը, որոնք տրվում են օգտագործողներին գաղտնաբառի ճիշտ ընտրության համար։ Նրանք հայտնաբերեցին, որ գաղտնաբառերը, որոնք հիմնված են արտահայտություն մտածելու և ամեն բառի առաջին տառը վերցնելու վրա, ավելի հեշտ հիշվող են և շատ են ընտրվում, և այնքան դժվար են կոտրվում, որքան պատահական ընտրված գաղտնաբառերը։ Կապակցելով երկու իրարից տարբեր բառերը մի ուրիշ լավ մեթդ է։ Ունենալով հատուկ ձևավորված "algorithm" անորոշ գաղտնաբառ, դա էլ մի ուրիշ լավ մեթոդ է։

Այնուամենայնիվ, օգտվողներին օգտվողներին հարցնելով հիշել գաղտնաբառը իրենից պարունակում է "մեծատառ և փոքրատառերի խառնուրդ” որը նման է հարցնել նրանվ հիշելու բիթերի հերթականությունը՝ դժվար է հիշել, և միայն մի փոքր դժվար կոտրել(օրինակ միայն 128 անգամ ավելի դժվար է կոտրել 7 տառից բաղկացած գաղտնաբառերը, ավելի քիչ, երբ օգտվողը պարզորեն մի տառը մեծատառ է գրում)։ Օգտվողներին խնդրել օգտագործել "և տառեր և թվեր" հաճախ տանում է հեշտ գլխի ընկնելուն, ինչպես 'E' --> '3' և'I' --> '1', սրանք ավելի լավ են ծանոթ կոտրողներին։ Նմանապես գաղտանաբառ գրել ստեղնաշարի մի շարք ներքևում, հասարակ մեթոդ է, լավ հայտնի կոտրողներին։

Միջադեպեր խմբագրել

1998 թվականի հուլիսի 16-ին, CERT-ը հայտնեց մի միջադեպի մասին, երբ վնասողը հայտնաբերել էր 186,126 գաղտնաբառ. Ժամանակի հետ դրանք հայտնաբերվեցին, բայց կոտրվել էին 47,642 գաղտնաբառ.[12]

2009 թվականի դեկտեմբերին գաղտնաբառերի ամենամեծ խախտումը տեղի ունեցավ, Rockyou.com վեբկայքը տարավ դեպի 32 միլիոն գաղտնաբառերի յուրացմանը։ 2011 թվականի հունիսին, ՆԱՏՕ-ն (North Atlantic Treaty Organization) փորձեց մի անվտանգության խախտում, որը բերեց հասարակության անվան և ազգանվան յուրացմանը, մուտքաբառերը և գաղտնաբառերը, ավելի քան 11,000 գրանցված օգտվողներին իրենց էլեկտրոնային խանութներում։

2011 թվականի հուլիսին Booz Allen Hamilton, հզոր Ամերիկյան խորհրդատվական ընկերությունը, որ կատարեց աշխատանքի մեծ մասըՊենտագոնի համար, որոնց իրենց սերվերները վնասվեցին Անոնիմկողմից և հայտնաբերվեցին նույն օրը։ "Վնասը, որ զուգորդվեց 'Military Meltdown Monday-ի կողմից պարունակում է 90,000 զինվորական անձնակազմի լոգին—ներառյալ USCENTCOM- անձնակազմը, SOCOM, the Marine Corps, տարբերAir Force հաստատություններ, Homeland Security, State Department անձնակազմը, և որը երևում է կոնտրակտորների անձնական սեկտորում։"[13]

2011 թվականի հուլիսի 18-ին Microsoft Hotmail-ը արգելեց "123456" գաղտնաբառը.[14]

Կանխարգելում խմբագրել

Գաղտնաբառի կոտրման ամենալավ մեթոդը, դա համոզված լինելն է, որ կոտրողները չեն կարող մուտք ունենալ նույնիսկ կտրտված գաղտնաբառին։ Օրինակ,Unix operating system, կտրտված գաղտնաբառերը հիմնականում պահվում են հասարակայնորեն մատչելի տեղում։ /etc/passwd.

Լուծումներ, ինչպես անվտանգության նշան տալիս են պաշտոնական ապացույց պատասխան հիմնական գաղտնաբառին. Այս լուծումները կտրուկ նվազեցնում են ժամանակացույցը brute forcing-ի համար (վնասողները կարիք ունեն ջարդել և օգտագործել գաղտնաբառ հեշտ շիֆթով) և նրանք նվազեցնում են գողացված գաղտնաբառերի արժեքը, դրանց կարճ ժամանակայնության պատճառով։

Ծրագրեր խմբագրել

Կաղապար:Հիմնականը։ Գոյություն ունեն գաղտնաբառ կոտրելու շատ ծրագրեր, բայց ամենահայտնին է[15] Cain and Abel, John the Ripper, Hydra և ElcomSoft.Շատ litigation support software փաթեթեներ պարունակում են գաղտնաբառ կոտրող ֆունկցիաներ։

Տեղեկանքներ խմբագրել

  1. Elcomsoft Wireless Security Auditor, HD5970 GPU, accessed 2011-2-11
  2. openwall.info
  3. «Electronic Authentication Guideline» (PDF). NIST. Արխիվացված է օրիգինալից (PDF) 2017 թ․ փետրվարի 8-ին. Վերցված է 2008 թ․ մարտի 27-ին.
  4. «64-bit key project status». Distributed.net. Վերցված է 2008 թ․ մարտի 27-ին.
  5. «EFF DES Cracker machine brings honesty to crypto debate». EFF. Արխիվացված է օրիգինալից 2010 թ․ հունվարի 1-ին. Վերցված է 2008 թ․ մարտի 27-ին.
  6. «Teraflop Troubles: The Power of Graphics Processing Units May Threaten the World's Password Security System». Georgia Tech Research Institute. Վերցված է 2010 թ․ նոյեմբերի 7–ին-ին.
  7. «Want to deter hackers? Make your password longer». MSNBC. 2010 թ․ օգոստոսի 19. Վերցված է 2010 թ․ նոյեմբերի 7–ին-ին.
  8. Walters, Dave (2010 թ․ սեպտեմբերի 2). «The Rise of The Programmable GPU – And The Death Of The Modern Password». Techdrawl. Արխիվացված է օրիգինալից 2011 թ․ փետրվարի 21-ին. Վերցված է 2010 թ․ նոյեմբերի 7–ին-ին.
  9. Vance, Ashlee (2010 թ․ հունվարի 20). «If Your Password Is 123456, Just Make It HackMe». The New York Times.
  10. «Fred Cohen and Associates». Արխիվացված է օրիգինալից 2008 թ․ մարտի 2-ին. Վերցված է 2011 թ․ նոյեմբերի 20-ին.
  11. «The Memorability and Security of Passwords» (PDF). Արխիվացված է օրիգինալից (PDF) 2012 թ․ ապրիլի 14-ին. Վերցված է 2011 թ․ նոյեմբերի 20-ին.
  12. «CERT IN-98.03». Վերցված է 2009 թ․ սեպտեմբերի 9–ին-ին.
  13. «Anonymous Leaks 90,000 Military Email Accounts in Latest Antisec Attack». 2011 թ․ հուլիսի 11.
  14. «Microsoft's Hotmail Bans 123456». 2011 թ․ հուլիսի 18.
  15. «Top 10 Password Crackers». Sectools. Վերցված է 2008 թ․ նոյեմբերի 1–ին-ին.

Արտաքին հղումներ խմբագրել