Tại sao các muối làm cho các cuộc tấn công từ điển trở nên 'bất khả thi'?

Cập nhật: Xin lưu ý rằng tôi không hỏi muối là gì, bảng cầu vồng là gì, tấn công từ điển là gì, hoặc mục đích của muối là gì. Tôi đang truy vấn: Nếu bạn biết người dùng muối và băm, thì không phải là dễ dàng để tính mật khẩu của họ phải không?

Tôi hiểu quy trình và tự thực hiện nó trong một số dự án của mình.

s =  random salt
storedPassword = sha1(password + s)

Trong cơ sở dữ liệu bạn lưu trữ:

username | hashed_password | salt

Mọi triển khai muối tôi đã thấy đều thêm muối vào cuối mật khẩu hoặc bắt đầu:

hashed_Password = sha1(s + password )
hashed_Password = sha1(password + s)

Do đó, một cuộc tấn công từ điển từ một hacker đáng giá muối của anh ta (ha ha) sẽ chỉ đơn giản là chạy mỗi từ khóa đối với các muối được lưu trữ trong các kết hợp phổ biến được liệt kê ở trên.

Chắc chắn việc triển khai được mô tả ở trên chỉ đơn giản là thêm một bước nữa cho hacker mà không thực sự giải quyết được vấn đề cơ bản? Có những giải pháp thay thế nào để giải quyết vấn đề này, hoặc tôi đang hiểu sai vấn đề?

Điều duy nhất tôi có thể nghĩ phải làm là có một thuật toán kết hợp bí mật kết hợp muối và mật khẩu với nhau theo một mẫu ngẫu nhiên hoặc thêm các trường người dùng khác vào quá trình băm nghĩa là tin tặc sẽ phải có quyền truy cập vào cơ sở dữ liệu VÀ mã để tạo ra chúng cho một cuộc tấn công từ điển để chứng minh hiệu quả. (Cập nhật, như đã chỉ ra trong các nhận xét, tốt nhất là giả sử hacker có quyền truy cập vào tất cả thông tin của bạn, vì vậy điều này có lẽ không phải là tốt nhất).

Hãy để tôi đưa ra một ví dụ về cách tôi đề xuất một hacker sẽ tấn công cơ sở dữ liệu người dùng bằng danh sách mật khẩu và mã băm:

Dữ liệu từ cơ sở dữ liệu bị tấn công của chúng tôi:

RawPassword (not stored)  |  Hashed   |     Salt
--------------------------------------------------------
letmein                       WEFLS...       WEFOJFOFO...

Từ điển mật khẩu chung:

   Common Password
   --------------
   letmein
   12345
   ...

Đối với mỗi bản ghi người dùng, lặp lại các mật khẩu phổ biến và băm chúng:

for each user in hacked_DB

    salt = users_salt
    hashed_pw = users_hashed_password

    for each common_password

        testhash = sha1(common_password + salt)
        if testhash = hashed_pw then
           //Match!  Users password = common_password
           //Lets visit the webpage and login now.
        end if

    next

next

Tôi hy vọng điều này minh họa quan điểm của tôi tốt hơn nhiều.

Với 10.000 mật khẩu phổ biến và 10.000 hồ sơ người dùng, chúng tôi sẽ cần tính toán 100.000.000 băm để khám phá càng nhiều mật khẩu người dùng càng tốt. Có thể mất vài giờ, nhưng nó không thực sự là một vấn đề.

Cập nhật về lý thuyết nứt

Chúng tôi sẽ cho rằng chúng tôi là một webhost bị hỏng, có quyền truy cập vào cơ sở dữ liệu gồm các hàm băm và muối SHA1, cùng với thuật toán của bạn để kết hợp chúng. Cơ sở dữ liệu có 10.000 hồ sơ người dùng.

Trang web này tuyên bố có thể tính toán 2.300.000.000 SHA1 băm mỗi giây bằng cách sử dụng GPU. (Trong tình huống thực tế có thể sẽ chậm hơn, nhưng bây giờ chúng tôi sẽ sử dụng con số được trích dẫn đó).

(((95 ^ 4) / 2300000000) / 2) * 10000 = 177 giây

Cung cấp đầy đủ 95 ký tự ASCII có thể in được, với độ dài tối đa là 4 ký tự, chia cho tỷ lệ tính toán (biến), chia cho 2 (giả sử thời gian trung bình để khám phá mật khẩu sẽ yêu cầu 50% hoán vị) cho 10.000 người dùng sẽ mất 177 giây để tìm ra tất cả mật khẩu người dùng có độ dài <= 4.

Hãy điều chỉnh nó một chút cho chủ nghĩa hiện thực.

(((36 ^ 7) / 1000000000) / 2) * 10000 = 2 ngày

Giả sử không phân biệt chữ hoa chữ thường, với độ dài mật khẩu <= 7, chỉ có các ký tự chữ và số, thì sẽ mất 4 ngày để giải quyết cho 10.000 hồ sơ người dùng và tôi đã giảm một nửa tốc độ của thuật toán để phản ánh tình huống chi phí và không lý tưởng.

Điều quan trọng là phải nhận ra rằng đây là một cuộc tấn công bạo lực tuyến tính, tất cả các tính toán đều độc lập với nhau, do đó nó là một nhiệm vụ hoàn hảo cho nhiều hệ thống giải quyết. (IE dễ dàng thiết lập 2 máy tính chạy tấn công từ các đầu khác nhau sẽ giảm một nửa thời gian phát hiện).

Với trường hợp băm đệ quy mật khẩu 1.000 lần để làm cho tác vụ này tốn kém hơn về mặt tính toán:

(((36 ^ 7) / 1 000 000 000) / 2) * 1000 giây = 10,8839117 giờ

Điều này thể hiện độ dài tối đa là 7 ký tự chữ-số, với tốc độ thực thi chưa bằng một nửa so với con số được trích dẫn cho một người dùng .

Việc băm đệ quy 1.000 lần chặn một cách hiệu quả một cuộc tấn công bao trùm, nhưng các cuộc tấn công nhắm mục tiêu vào dữ liệu người dùng vẫn dễ bị tấn công.

Có, bạn chỉ cần 3 ngày cho sha1 (muối | mật khẩu). Đó là lý do tại sao các thuật toán lưu trữ mật khẩu tốt sử dụng phương pháp băm 1000 lần lặp: bạn sẽ cần 8 năm.

Nó không ngăn chặn các cuộc tấn công từ điển.

Những gì nó làm là ngăn người quản lý lấy bản sao tệp mật khẩu của bạn bằng cách sử dụng bảng cầu vồng để tìm ra mật khẩu là gì từ các hàm băm.

Tuy nhiên, cuối cùng, nó có thể bị cưỡng bức. Câu trả lời cho phần đó là buộc người dùng của bạn không sử dụng các từ trong từ điển làm mật khẩu (ví dụ: yêu cầu tối thiểu của ít nhất một số hoặc ký tự đặc biệt).

Cập nhật :

Đáng lẽ tôi đã đề cập đến vấn đề này sớm hơn, nhưng một số (hầu hết?) Hệ thống mật khẩu sử dụng một muối khác nhau cho mỗi mật khẩu, có thể được lưu trữ bằng chính mật khẩu đó. Điều này làm cho một bảng cầu vồng duy nhất trở nên vô dụng. Đây là cách hoạt động của thư viện mã hóa UNIX và các hệ điều hành giống UNIX hiện đại đã mở rộng thư viện này bằng các thuật toán băm mới.

Tôi biết thực tế là hỗ trợ SHA-256 và SHA-512 đã được thêm vào trong các phiên bản mới hơn của GNU crypt.

Nói chính xác hơn, một cuộc tấn công từ điển , tức là một cuộc tấn công trong đó tất cả các từ trong danh sách đầy đủ được thử, không phải là "không thể", nhưng nó trở nên không thực tế : mỗi bit muối tăng gấp đôi lượng lưu trữ và tính toán cần thiết .

Điều này khác với các cuộc tấn công từ điển được tính toán trước như các cuộc tấn công liên quan đến các bảng cầu vồng, nơi không quan trọng muối có bí mật hay không.

Ví dụ: Với muối 64-bit (tức là 8 byte), bạn cần kiểm tra 2 tổ hợp ⁶⁴ mật khẩu bổ sung trong cuộc tấn công từ điển của mình. Với một từ điển chứa 200.000 từ, bạn sẽ phải làm

200.000 * 2 ⁶⁴ = 3,69 * 10 ²⁴

kiểm tra trong trường hợp xấu nhất - thay vì 200.000 bài kiểm tra không có muối.

Một lợi ích bổ sung của việc sử dụng muối là kẻ tấn công không thể tính toán trước các băm mật khẩu từ từ điển của mình. Nó chỉ đơn giản là sẽ mất quá nhiều thời gian và / hoặc không gian.

Cập nhật

Bản cập nhật của bạn giả định rằng kẻ tấn công đã biết muối (hoặc đã đánh cắp nó). Tất nhiên đây là một tình huống khác. Tuy nhiên, kẻ tấn công không thể sử dụng bảng cầu vồng được tính toán trước. Điều quan trọng ở đây là tốc độ của hàm băm. Để thực hiện một cuộc tấn công không thực tế, hàm băm cần phải chậm. MD5 hoặc SHA không phải là ứng cử viên tốt ở đây vì chúng được thiết kế để nhanh, ứng cử viên tốt hơn cho thuật toán băm là Blowfish hoặc một số biến thể của nó.

Cập nhật 2

Bài đọc hay về vấn đề bảo mật hàm băm mật khẩu của bạn nói chung (vượt xa câu hỏi ban đầu nhưng vẫn thú vị):

Đủ với các bảng cầu vồng: Những điều bạn cần biết về lược đồ mật khẩu an toàn

Kết quả của bài viết: Sử dụng hàm băm muối được tạo bằng bcrypt (dựa trên Blowfish) hoặc Eksblowfish cho phép bạn sử dụng thời gian thiết lập có thể định cấu hình để làm chậm quá trình băm.

Từ điển là một cấu trúc nơi các giá trị được lập chỉ mục bởi các khóa. Trong trường hợp tấn công từ điển được tính toán trước, mỗi khóa là một hàm băm và giá trị tương ứng là một mật khẩu dẫn đến hàm băm. Với một từ điển được tính toán trước trong tay, kẻ tấn công có thể "ngay lập tức" tra cứu một mật khẩu sẽ tạo ra hàm băm cần thiết để đăng nhập.

Với muối, không gian cần thiết để lưu trữ từ điển tăng lên nhanh chóng… nhanh đến mức cố gắng tính toán trước từ điển mật khẩu sẽ sớm trở nên vô nghĩa.

Các muối tốt nhất được chọn ngẫu nhiên từ bộ tạo số ngẫu nhiên mật mã. Tám byte là kích thước thực tế và hơn 16 byte không phục vụ mục đích gì.

Muối không chỉ "làm cho công việc của kẻ tấn công trở nên khó chịu hơn." Nó loại bỏ toàn bộ lớp tấn công — việc sử dụng từ điển được tính toán trước.

Một yếu tố khác là cần thiết để bảo mật hoàn toàn mật khẩu và đó là "tăng cường khóa". Một vòng SHA-1 là không đủ tốt: một thuật toán băm mật khẩu an toàn nên tính toán rất chậm.

Nhiều người sử dụng PBKDF2, một hàm dẫn xuất khóa, cung cấp lại kết quả cho hàm băm hàng nghìn lần. Thuật toán "bcrypt" cũng tương tự, sử dụng dẫn xuất khóa lặp lại chậm.

Khi thao tác băm diễn ra rất chậm, một bảng tính toán trước ngày càng trở nên mong muốn hơn đối với kẻ tấn công. Nhưng muối thích hợp đánh bại cách tiếp cận đó.

Bình luận

Dưới đây là những nhận xét tôi đưa ra về câu hỏi.

Nếu không có muối, kẻ tấn công sẽ không sử dụng phương pháp được trình bày trong "Bản cập nhật 2". Anh ta chỉ cần thực hiện tra cứu trong một bảng được tính toán trước và lấy mật khẩu trong thời gian O (1) hoặc O (log n) (n là số mật khẩu ứng viên). Muối là thứ ngăn cản điều đó và buộc anh ta phải sử dụng phương pháp O (n) được trình bày trong "Bản cập nhật 2".

Sau khi giảm thành một cuộc tấn công O (n), chúng ta phải xem xét mỗi lần thử mất bao lâu. Việc tăng cường khóa có thể khiến mỗi lần thử trong vòng lặp mất một giây, nghĩa là thời gian cần thiết để kiểm tra 10k mật khẩu trên 10k người dùng sẽ kéo dài từ 3 ngày đến 3 năm … và chỉ với 10k mật khẩu, bạn có khả năng bẻ khóa bằng không mật khẩu trong thời gian đó.

Bạn phải cân nhắc rằng kẻ tấn công sẽ sử dụng các công cụ nhanh nhất mà anh ta có thể, không phải PHP, vì vậy hàng nghìn lần lặp, thay vì 100, sẽ là một tham số tốt để tăng cường khóa. Sẽ mất một phần lớn giây để tính toán băm cho một mật khẩu.

Tăng cường khóa là một phần của thuật toán dẫn xuất khóa tiêu chuẩn PBKDF1 và PBKDF2, từ PKCS # 5, tạo ra các thuật toán xáo trộn mật khẩu tuyệt vời ("khóa dẫn xuất" là "băm").

Rất nhiều người dùng trên StackOverflow tham khảo bài viết này vì nó là phản hồi cho bài đăng của Jeff Atwood về sự nguy hiểm của bảng cầu vồng. Đây không phải là bài viết yêu thích của tôi, nhưng nó thảo luận chi tiết hơn về những khái niệm này.

Tất nhiên bạn cho rằng kẻ tấn công có mọi thứ: muối, băm, tên người dùng. Giả sử kẻ tấn công là một nhân viên của công ty lưu trữ tham nhũng đã làm đổ bảng người dùng trên fansite myprettypony.com của bạn. Anh ấy đang cố gắng khôi phục những mật khẩu này vì anh ấy sẽ quay lại và xem liệu người hâm mộ ngựa của bạn có sử dụng cùng một mật khẩu trên tài khoản citibank.com của họ hay không.

Với một sơ đồ mật khẩu được thiết kế tốt, anh chàng này sẽ không thể khôi phục được bất kỳ mật khẩu nào.

Mục đích của việc ướp muối là để ngăn chặn sự hao mòn công sức của kẻ tấn công.

Không có muối, một bảng duy nhất các mục nhập mật khẩu băm được tính toán trước (ví dụ: MD5 của tất cả các chuỗi ký tự gồm 5 chữ và số, dễ dàng tìm thấy trực tuyến) có thể được sử dụng cho mọi người dùng trong mọi cơ sở dữ liệu trên thế giới.

Với một muối dành riêng cho trang web, kẻ tấn công phải tự tính toán bảng và sau đó có thể sử dụng nó trên tất cả người dùng của trang web.

Với muối cho mỗi người dùng, kẻ tấn công phải sử dụng nỗ lực này cho từng người dùng riêng biệt.

Tất nhiên, điều này không có tác dụng gì nhiều để bảo vệ các mật khẩu thực sự yếu ngay từ từ điển, nhưng nó bảo vệ các mật khẩu mạnh hợp lý chống lại sự suy giảm này.

Ngoài ra - một điểm quan trọng nữa - sử dụng muối dành riêng cho NGƯỜI DÙNG sẽ ngăn việc phát hiện hai người dùng có cùng mật khẩu - hàm băm của họ sẽ khớp. Đó là lý do tại sao nhiều lần băm là băm (muối + tên người dùng + mật khẩu)

Nếu bạn cố gắng và giữ bí mật mã băm, kẻ tấn công cũng không thể xác minh các hàm băm.

Chỉnh sửa- chỉ cần nhận thấy điểm chính được đưa ra trong một bình luận ở trên.

Salts được thực hiện để ngăn chặn các cuộc tấn công bảng cầu vồng. Bảng cầu vồng là danh sách các hàm băm được tính toán trước, điều này làm cho việc dịch một hàm băm thành cụm từ của nó đơn giản hơn nhiều. Bạn cần hiểu rằng việc ướp muối không hiệu quả như một biện pháp ngăn chặn hiện đại để bẻ khóa mật khẩu trừ khi chúng ta có thuật toán băm hiện đại.

Vì vậy, giả sử chúng tôi đang làm việc với SHA1, tận dụng các khai thác gần đây được phát hiện với thuật ngữ này, và giả sử chúng tôi có một máy tính chạy ở 1.000.000 băm / giây, sẽ mất 5,3 triệu triệu triệu năm để tìm thấy một vụ va chạm , vậy php có thể hoạt động 300 một giây, tiếng kêu lớn, không thực sự quan trọng. Lý do khiến chúng ta muối mặt là vì nếu ai đó đã bận tâm tạo ra tất cả các cụm từ điển thông dụng, (2 ^ 160 người, chào mừng bạn đến với các kỳ tích thời đại 2007).

Vì vậy, đây là một cơ sở dữ liệu thực tế, với 2 người dùng mà tôi sử dụng cho mục đích thử nghiệm và quản trị.

RegistrationTime        UserName        UserPass    
1280185359.365591       briang      a50b63e927b3aebfc20cd783e0fc5321b0e5e8b5
1281546174.065087       test        5872548f2abfef8cb729cac14bc979462798d023

Trên thực tế, sơ đồ ướp muối là sha1 của bạn (thời gian đăng ký + tên người dùng). Tiếp tục, cho tôi biết mật khẩu của tôi, đây là mật khẩu thực trong quá trình sản xuất. Bạn thậm chí có thể ngồi đó và băm ra một danh sách từ trong php. Đi hoang dã.

Tôi không điên, tôi chỉ biết rằng điều này được bảo mật. Vì lợi ích vui vẻ, mật khẩu của thử nghiệm là test. sha1(sha1(1281546174.065087 + test) + test) = 5872548f2abfef8cb729cac14bc979462798d023

Bạn sẽ cần tạo toàn bộ bảng cầu vồng chỉ27662aee8eee1cb5ab4917b09bdba31d091ab732 dành cho người dùng này. Điều đó có nghĩa là tôi thực sự có thể cho phép tất cả mật khẩu của mình không bị xâm phạm bởi một bảng cầu vồng duy nhất, tin tặc cần tạo toàn bộ bảng cầu vồng cho 27662aee8eee1cb5ab4917b09bdba31d091ab732 để kiểm tra và một lần nữa f3f7735311217529f2e020468004a2aa5b3dee7f cho briang. Hãy nhớ lại 5,3 triệu triệu triệu năm cho tất cả các hàm băm. Hãy nghĩ về kích thước chỉ lưu trữ 2 ^ 80 băm (tức là hơn 20 yottabyte ), điều đó sẽ không xảy ra.

Đừng nhầm lẫn việc ướp muối là một phương tiện tạo ra một hàm băm mà bạn không bao giờ có thể giải mã, đó là một phương tiện ngăn bảng cầu vồng dịch tất cả mật khẩu người dùng của bạn. Nó khả dụng ở cấp độ công nghệ này.

Ý tưởng đằng sau cuộc tấn công từ điển là bạn lấy một hàm băm và tìm mật khẩu, từ đó hàm băm này được tính toán mà không cần tính toán hàm băm. Bây giờ làm tương tự với mật khẩu muối - bạn không thể.

Việc không sử dụng muối giúp việc tìm kiếm mật khẩu dễ dàng như tra cứu trong cơ sở dữ liệu. Thêm một muối làm cho kẻ tấn công thực hiện tính toán băm của tất cả các mật khẩu có thể có (ngay cả đối với từ điển đính kèm điều này làm tăng đáng kể thời gian tấn công).

Nói một cách đơn giản nhất: không cần ướp muối, mỗi mật khẩu ứng viên chỉ cần được băm một lần để kiểm tra nó với mọi người dùng, ở bất kỳ đâu trong "vũ trụ đã biết" (tập hợp các cơ sở dữ liệu bị xâm phạm), có mật khẩu được băm thông qua cùng một thuật toán. Với tính năng ướp muối, nếu số lượng giá trị muối có thể có về cơ bản vượt quá số lượng người dùng trong "vũ trụ đã biết", thì mỗi mật khẩu ứng viên phải được băm riêng cho từng người dùng mà nó sẽ được kiểm tra.

Nói một cách đơn giản, việc ướp muối không ngăn chặn tấn công băm (bruteforce hoặc từ điển), nó chỉ làm cho nó khó hơn; kẻ tấn công sẽ cần phải tìm ra thuật toán muối (nếu được triển khai đúng cách sẽ sử dụng nhiều lần lặp hơn) hoặc bruteforce algo, trừ khi rất đơn giản, gần như là không thể. Salting cũng gần như loại bỏ hoàn toàn tùy chọn tra cứu bảng cầu vồng ...

Muối làm bàn Cầu vồng các cuộc tấn công trở nên khó khăn hơn nhiều vì nó làm cho một hàm băm mật khẩu khó bị bẻ khóa hơn nhiều. Hãy tưởng tượng bạn có một mật khẩu khủng khiếp chỉ là số 1. Một cuộc tấn công bảng cầu vồng sẽ phá vỡ mật khẩu này ngay lập tức.

Bây giờ hãy tưởng tượng mỗi mật khẩu trong db là muối với một giá trị ngẫu nhiên dài của nhiều ký tự ngẫu nhiên. Bây giờ mật khẩu tệ hại của bạn là "1" được lưu trữ trong db dưới dạng băm của 1 cộng với một loạt các ký tự ngẫu nhiên (muối), vì vậy trong ví dụ này, bảng cầu vồng cần có băm cho một cái gì đó như: 1.

Vì vậy, giả sử muối của bạn là thứ gì đó an toàn và ngẫu nhiên, giả sử ()% ISLDGHASKLU ( % #% #, bảng cầu vồng của hacker sẽ cần có mục nhập cho 1 * ()% ISLDGHASKLU (*% #% #. Bây giờ sử dụng bảng cầu vồng thậm chí mật khẩu đơn giản này không còn thực tế nữa.