如何保护自己免受彩虹表攻击

彩虹表攻击在破解被认为很长的密码时非常有效。然而,保护自己很容易,我们将告诉您如何做到。请继续关注!

我们经常被告知为了更好的在线安全性而设置长字符串的密码。虽然在一定程度上是正确的,但是cybersecurity比设置一个包含广泛的字母数字字符的密码要复杂得多。

尽管hacking设置一个长密码通常是一项艰巨的任务,但是如果您拥有密码哈希(在下一节中解释)和所需的彩虹表,这将变得轻而易举。

什么是彩虹表攻击?

彩虹表不像它们一样复杂(或绚丽多彩),彩虹表是数据集(如此类: free rainbow tables),其中包含与常见(或泄露)密码匹配的哈希值。

为了理解它们在在线攻击中的重要性,我们必须了解密码的工作原理。

密码数据库通常以机密(哈希)格式存储用户指定的密码,以增加安全性。他们通过使用任何散列算法对明文密码进行加密来实现这一点。

因此,无论我们在任何在线门户(比如Gmail)中输入密码,它都会创建一个哈希并与保存的哈希进行匹配。如果生成的哈希与数据库中的哈希相匹配,我们就可以成功登录。

为了说明,我使用了我们自己的Geekflare’s Generate Hash tool;请看一下:

因此,如果有人使用(危险地简单)密码yaoweibin123,他们将在数据库中保存一个相应的哈希值c0b78d5679f24e02fe72b8b30f16bbda

值得注意的是,部署用于生成此哈希值的散列算法是MD5。

现在假设一个坏人非法获取了哈希数据库的访问权限,他们可以使用一个使用彩虹表(针对MD5算法)的密码破解工具来匹配此哈希值,从而揭示原始密码,即yaoweibin123。

接下来,他们将其与您的用户名配对,特定的帐户就被入侵了。

这就是所谓的彩虹表攻击。

还可阅读:How to Crack Passwords Using Hashcat Tool?

防止彩虹表攻击的步骤

彩虹表攻击是受损哈希数据库的结果。无论是黑客直接访问还是利用已经在dark web上提供的内容。

在任何情况下,对抗此类攻击的安全性取决于您和密码数据库管理员。

作为个人,您可以:

  1. 设置唯一的密码,并持续检查它们是否在暗网泄露。您可以使用dark web monitoring tools来进行此操作,它有助于验证凭据是否暴露。随后,更改该特定密码以保持安全。
  2. 更好的方法是使用multifactor authentication。它为强大的安全性增加了一种变量。人们可以简单地使用身份验证器应用程序或硬件安全工具,如Yubikey
  3. 然而,最好的方法是使用passwordless authentication。它们可能比使用密码更安全。没有密码,就没有密码被黑客破解的风险。这通过使用魔术登录链接、TOTP、生物识别等方式实现。然而,并非所有的在线门户都具有如此先进的登录基础设施。但如果可用,应使用它们。

还有一些主要针对密码管理系统的措施。

  1. 在哈希之前向密码添加盐(额外字符)使其唯一,使现有的彩虹表无效。此外,盐不应包含用户名,以获得最高级别的随机性。
  2. 应避免使用过时的哈希算法,如MD5、SHA1等。相反,SHA256或SHA512是当前更好的选择,直到出现更安全的算法。
  3. 另外,可以通过使用盐和原始密码重新哈希第一个哈希值来增强存储的哈希值。此过程可以重复多次,由于计算限制,使得破解变得非常困难。

彩虹表攻击仍然是一种威胁吗?

这些攻击方式越来越过时,因为盐值哈希已经成为新的常态。此外,高级哈希算法变得越来越普遍,使得彩虹表攻击成为过去的事情。

因为单独创建彩虹表非常困难。而且攻击者通常受限于现有的彩虹表,如果采取了上述预防措施,这些攻击就没有任何意义。

总结

网络安全是我们和互联网之间的持续斗争。你不能放松警惕,最好随时了解当前的最佳实践。

虽然彩虹表攻击在当前环境中可能不相关,但列出的措施值得注意并立即应用。

PS: 但彩虹表攻击并不孤单,还有一些要小心的types of cybercrimes

类似文章