2018-01-21
1348
Один из распространённых методов защиты от взлома с помощью радужных таблиц — использование необратимых хеш-функций, которые включают salt («соль», «модификатор»). Существует множество возможных схем смешения затравки и пароля. Например, рассмотрим следующую функцию для создания хеша от пароля:
хеш = MD5(пароль + соль)
Для восстановления такого пароля взломщику необходимы таблицы для всех возможных значений соли. При использовании такой схемы, соль должна быть достаточно длинной (6‒8 символов), иначе злоумышленник может вычислить таблицы для каждого значения соли, случайной и различной для каждого пароля. Таким образом два одинаковых пароля будут иметь разные значения хешей, если только не будет использоваться одинаковая соль.
По сути, соль увеличивает длину и, возможно, сложность пароля. Если таблица рассчитана на некоторую длину или на некоторый ограниченный набор символов, то соль может предотвратить восстановление пароля. Например, в старых Unix-паролях использовалась соль, размер которой составлял всего лишь 12 бит. Для взлома таких паролей злоумышленнику нужно было посчитать всего 4096 таблиц, которые можно свободно хранить на терабайтных жестких дисках. Поэтому в современных приложениях стараются использовать более длинную соль. Например, в алгоритме хеширования bcrypt используется соль размером 128 бит. Подобная длина соли делает предварительные вычисления просто бессмысленными. Другим возможным способом борьбы против атак, использующих предварительные вычисления, является растяжение ключа(англ. keystretching). Например:
|
|
|
ключ = хеш(пароль + соль)
for 1 to 65536 do
ключ = хеш(ключ + пароль + соль)
Этот способ снижает эффективность применения предварительных вычислений, так как использование промежуточных значений увеличивает время, которое необходимо для вычисления одного пароля, и тем самым уменьшает количество вычислений, которые злоумышленник может произвести в установленные временные рамки.[5] Данный метод применяется в следующих алгоритмах хеширования: MD5, в котором используется 1000 повторений, и bcrypt. Альтернативным вариантом является использование усиления ключа (англ. keystrengthening), который часто принимают за растяжение ключа. Применяя данный метод, мы увеличиваем размер ключа за счёт добавки случайной соли, которая затем спокойно удаляется, в отличие от растяжения ключа, когда соль сохраняется и используется в следующих итерациях. Также рассмотрим LM-хеш — это старый алгоритм хеширования, который используется в Microsoft. Он чрезвычайно уязвим, так пароль, состоящий больше, чем из 7 символов, но меньше, чем из 15 символов, разбивается на две части, которые хешируются независимо друг от друга. Чтобы избежать создания LM-хеша, необходимо использовать пароли из 15 символов и более.
|
|
|
Защита от фишинга
Если не обратить внимания на разницу между отображаемой и реальной ссылкой, то можно запросто стать жертвой мошенников. На поддельном сайте вам предложат ввести например данные своего аккаунта или данные кредитной карты. И не смотря на то что сайт выглядит почти как настоящий, эти данные пойдут прямиком к мошенникам.
С ростом количества онлайн сервисов растет и количество сетевых мошенников. Не смотря на то что сами сервисы могут быть абсолютно безопасными, нужно сохранять предельную осторожность чтобы не стать жертвой фишинговой атаки. Вот несколько рекомендаций, позволяющих избежать этого:
· Будьте предельно внимательными когда вам приходят письма с запросом какой-либо персональной информации, либо с требованием ее обновить на сайте.
o Если письмо не подписано цифровой сигнатурой, то нельзя быть уверенным, что оно не поддельное.
o Мошенники часто используют специальные приемы чтобы вызвать реакцию на письмо. Типичными являются фразы с угрозами каких-либо неприятных последствий в случае если вы не перейдете по ссылке. Либо наоборот обещания каких то бонусов от известного сервиса.
o Чаще всего мошенникам требуются логины, пароли, номера кредитных карт и т.п.
o Как правилофишинговые письма не персонализированы, т.е. не содержат вашего имени в адресе.
· Никогда не переходите по ссылкам, нажимая их прямо в письме! Гораздо безопаснее набрать вручную нужный адрес в браузере, либо позвонить в ту компанию, от имени которой пришло письмо.
· Никогда не заполняйте персональными данными HTML формы, которые расположены прямо в письме.
· Всегда проверяйте что для передачи персональной информации используется шифрованное соединение. Чтобы проверить шифруются ли данные, посмотрите на ссылку страницы где вводятся данные. Адрес должен начинаться с "https://", а не с "http://".
AntispamSniper содержит специальный антифишинговый модуль, который помогает распознавать фишинговые атаки. Если он включен, то в каждом письме проверяются все ссылки. Если видимая часть ссылки содержит адрес отличающийся от того по которому будет осуществлен реальный переход, то ссылка считается поддельной. Если в письме встретится хотя бы одна поддельная ссылка, плагин распознает это письмо как спам и запишет в лог вместе с другими данными письма адрес поддельной ссылки.
