reklama

Útoky na hesla podomácku

Myslíte si, že máte silné heslo? Vyzkoušejte si sami možnosti prolomení nejznámějších dokumentů a dalších souborů, poradíme vám, jak na to!
Kapitoly článku

V dřívějším článku, který nesl název Špatná paměť, bezpečná hesla a tak dále, jsme vám představili základy zabezpečení hesly, jejich výhody, nevýhody a základní principy. Jednalo se o obecný arzenál, který by měl patřit k základnímu bezpečnostnímu vzdělání. Na řádcích tohoto pokračování se na obecné úrovni ještě blíže podíváme na takzvané duhové útoky, jež samy o sobě ale nejsou tolik poetické. Hlavní část pak bude věnována možnostem prolomení nejznámějších dokumentů a dalších souborů – víte, co použít pro prolomení dokumentů Wordu, Excelu, odemknutí heslovaných PDF apod.?

Skutečně pestrobarevné duhové útoky

Pokud si nejste jisti významem a základním posláním hashování v případě kombinace s hesly, zalistujte nejprve již odkazovaným předchozím článkem Špatná paměť, bezpečná hesla a tak dále. Doplňujícím požadavkem na různé hash funkce je nutnost poměrně rychlého výpočtu, což samozřejmě představuje výhodu při generování otisků, na druhou stranu je ale zde jistá dvojsečnost. Když jsou hash funkce rychle vypočitatelné, proč si nevytvořit seznam odpovídajících dvojic (vstupní text, výstupní otisk) dopředu?

Myšlenka je to bezesporu zajímavá, jednoduchá a hlavně nalezla také realizaci, tvoří základ takzvaných duhových útoků. Předpočítané tabulky hash kódů pro různé vstupy, v našem případě tedy hesla, jsou známé pod označením rainbow tables, celý proces útoků na hesla jejich prostřednictvím pak můžete najít pod souslovím rainbow attack.

Klepněte pro větší obrázek
S otisky pro různé vstupy si můžete pohrát i ve speciálních aplikacích, které generují hashe rozličnými funkcemi

Ačkoli univerzální princip duhových útoků naznačuje, že je lze aplikovat na kteroukoliv hash funkci, v praxi nejčastěji naleznete předpočítané tabulky pro rozšířené MD5 nebo LM hashe, které jsou známé z autentizace ve Windows (jako doplněk novějších NTLM variant):

  • MD5 – jeden z nejznámějších algoritmů, navrhl jej Ronald Rivest v roce 1991. MD5 se stále hojně využívá, ačkoliv v něm byly objeveny některé slabiny a délka výsledného otisku, která činí 128 b, již není považována za vhodnou.
  • LM – starší varianta hashů používaných pro autentizaci ve Windows, modernější a bezpečnější jsou NTLM hashe. LM verze se však stále používá z důvodu bezproblémovější zpětné kompatibility, přestože neposkytují tak vysokou úroveň zabezpečení.

Vyzbrojeni teorií nyní nezbývá nic jiného, než zapátrat po některých nejznámějších realizacích duhových útoků. Mezi populární patří projekt RainbowCrack, který najdete na domovských stránkách serveru Antsight.com. Na těchto odkazovaných stránkách se nachází několik verzí samostatné aplikace RainbowCrack, s jejíž pomocí je možné si předpočítat duhové tabulky pro různé hashe. Vlastní generování tabulek sice také netrvá zrovna krátkou dobu, avšak následné prolomení díky tomu může zabrat klidně jen pár vteřin. Ze základních hash funkcí jsou podporovány LM, MD5 a SHA-1.

Vygenerované duhové tabulky samozřejmě nacházejí uplatnění také v celé řadě jiných aplikací, vždy ale mějte na paměti, že opravdu rozsáhlé verze jsou také adekvátně veliké co do datové náročnosti. A do kterých externích aplikací je možné duhové tabulky importovat? Ze zdarma dostupných vám podporu duhových útoků nabídne například dobře známý nástroj Cain & Abel, z ostatních pak stojí za pozornost například komerční Proactive Password Auditor.

Klepněte pro větší obrázek
Lámání hesel v aplikaci Proactive Password Auditor

Stranou duhových útoků nezůstávají ani dokumenty některých verzí kancelářského balíku Microsoft Office, jmenovitě se v rámci aplikací jedná například o Ophcrack_office, o němž se můžete dočíst na stránkách serveru společnosti Objectif Sécurité. Tvůrci díky duhovým tabulkám přislibují prolomení hesel během několika málo minut, a to s úspěšností 99,6 %.

Témata článku: Microsoft, Internet Explorer, Heslo, MD5, Abel, Password, Recovery, Rainbow, Auditor, Advanced, Force, Kancelářské aplikace, Arsenal, Attack

35 komentářů

Nejnovější komentáře

  • Marie Marie 5. 9. 2012 22:59:49
    Ahoj Potřebuji poradit zda nevíš jak se dá zjistit heslo do emailu...
  • norwi 9. 8. 2007 17:27:05
    pro kryptovani volume disku Truecrypt a pro usb flash treba...
  • Michal21 4. 8. 2007 15:42:38
    http://stoyan.ic.cz/clanek/hesla-adminu-ve-windows-xp/
reklama
Určitě si přečtěte

Vybíráte herní periferii nebo hardware? Pak zapomeňte na nálepku Gaming

Vybíráte herní periferii nebo hardware? Pak zapomeňte na nálepku Gaming

** Herní hardware se od toho běžného často liší jen vzhledem ** Při výběru stále nezapomínejte na základní parametry ** Poradíme jak vybrat herní hardware i periferie

20.  2.  2017 | Stanislav Janů | 36

10 nejhorších produktů v historii Microsoftu

10 nejhorších produktů v historii Microsoftu

20.  2.  2017 | Karel Javůrek | 141

AMD oficiálně představilo procesory Ryzen. Známe i jejich české ceny

AMD oficiálně představilo procesory Ryzen. Známe i jejich české ceny

** AMD uvedlo první tři procesory Ryzen 7 ** Všechny budou pracovat s osmi jádry a šestnácti vlákny ** Na pulty obchodů se dostanou už za týden

22.  2.  2017 | Stanislav Janů | 132

Pojďme programovat elektroniku: Žádný bastlíř se neobejde bez armády švábů

Pojďme programovat elektroniku: Žádný bastlíř se neobejde bez armády švábů

** Každý bastlíř se po čase neobjede bez armády švábů ** Dnes si některé z nich vyzkoušíme ** Třeba zázračný posuvný registr

19.  2.  2017 | Jakub Čížek | 40

EU se děsí Windows 10. Prý o nás vědí až příliš. Microsoft chystá změny

EU se děsí Windows 10. Prý o nás vědí až příliš. Microsoft chystá změny

** Evropští úředníci chtějí, aby byly Desítky transparentnější ** Microsoft od jara skutečně chystá změny ** Ochráncům soukromí to ale nestačí

21.  2.  2017 | Jakub Čížek | 218

Remix Singularity: Microsoft si na tom vylámal zuby. Jak dopadne Android?

Remix Singularity: Microsoft si na tom vylámal zuby. Jak dopadne Android?

** Microsoft do svých telefonů integroval desktopové prostředí ** Moc to ale nevyšlo, chyběl pořádný výkon ** Teď to zkoušejí ex-googleři s Remix Singularity

23.  2.  2017 | Jakub Čížek | 74


Aktuální číslo časopisu Computer

Supertéma o počítačové bezpečnosti

AMD Ryzen přichází

Velké testy kinoprojektorů a levných špuntových sluchátek

Příslušenství do USB-C

reklama
reklama