יומן אבטחה

Rainbow Crack הנה שיטה לפיצוח אלגוריתמי Hash (הכוונה לסיסמאות שעברו Hash). זו שיטה מהדור הישן. לוקחים בסיס נתונים וכותבים בו את כל הצירופים האפשריים תחת אלגוריתם ה-Hash. כבר יצא לי לשמוע אנשי אבטחה שטוענים שאין תועלת ב-Hash כי אפשר לעשות להכל Rainbow Crack. אז זהו, שלא. אם זה היה כזה פשוט לרשום את כל האפשרויות לבסיס נתונים זה היה פשוט באותה המידה לבצע Brute Force. אלא שכמות האפשרויות עצומה ולכן בסיסי נתונים כאלה מכילים לרוב את הסיסמאות הנפוצות ביותר (כמה עשרות מיליונים של סיסמאות נפוצות). הדרך להתמודד עם שיטת פריצה כזו היא לא לבצע Hash על סיסמאות משתמשים סתם כך אלא להוסיף מרכיב אקראי לסיסמא ואז לבצע על כל העניין Hash.

במאמר מוסגר אציין כי Hash של סיסמאות משתמשים לא אמור להיות גלוי וגישה אליו אמורה להיות מוגבלת. הוא גם לא באמת אמור לעבור ברשת באיזושהי צורה.

מחפשים קישור לבסיס נתונים של Rainbow Crack ל-MD5?

הנה הקישור