7 ответов:
статья Википедии немного трудно понять. В двух словах, вы можете думать о радужной таблице как о большом словаре с заранее рассчитанными хэшами и паролями, из которых они были вычислены.
разница между радужными таблицами и другими словарями заключается просто в методе хранения записей. Радужная таблица оптимизирована для хэшей и паролей и, таким образом, обеспечивает большую оптимизацию пространства, сохраняя при этом хорошую скорость поиска. Но в суть, это просто словарь.
когда злоумышленник крадет длинный список хэшей пароль от вас, он может быстро проверить, если любой из них находятся в радужной таблице. Для тех, кто есть, радужная таблица также будет содержать строку, из которой они были хэшированы.
конечно, есть просто слишком много хэшей, чтобы хранить их все в радужной таблице. Поэтому, если хэш не находится в конкретной таблице, хакеру не повезло. Но если ваши пользователи используют простые английские слова и вы обсуждали их только один раз, есть большая вероятность, что хороший радужная таблица будет содержать пароль.
Это когда кто-то использует Радужный таблице для взлома паролей.
Если вы беспокоитесь об этом, вы должны использовать соль. Существует также Stack Overlow вопрос что может помочь вам понять соль немного лучше, чем Википедия...
Это полезная статья о радужных таблиц для мирянина. (Не предполагая, что вы непрофессионал, но это хорошо написано и лаконично.)
поздно на вечеринку, но я также знал, что радужные таблицы являются методом атаки на хэшированные/несоленые пароли. Однако в Твиттере недавно http://codahale.com/how-to-safely-store-a-password/ был разделен и в зависимости от ваших потребностей и проблем.. возможно, вы не сможете солить свой путь к безопасному хранению паролей.
Я надеюсь, что это информативно для вас.
вообще говоря, вы шифруете огромное количество возможных коротких строк открытого текста (т. е. для паролей) и сохраняете зашифрованные значения вместе с открытым текстом. Это делает его (относительно) простым для простого поиска открытого текста, когда у вас есть зашифрованное значение.
Это очень полезно для слабых и/или несоленых хэшей пароль. Популярным примером является LAN Manager hash, используется версиями Windows до XP для хранения пользователя пароли.
обратите внимание, что предварительно вычисленная радужная таблица даже для такого простого, как LM-хэш, занимает много процессорного времени для генерации и занимает довольно много места (порядка 10 гигабайт IIRC).
радужные таблицы в основном позволяют кому-то хранить большое количество предварительно вычисленных хэшей.
Это делает его легко взломать ваши пароли, так как вместо того, чтобы выполнять целую кучу функций хэширования, работа уже выполнена, и они практически только для поиска базу данных.
лучшей защитой от такого рода атак является использование соли (случайных символов) в вашем пароле. т. е. вместо хранения md5 (пароль), хранить md5 (пароль + соль), или даже лучше md5(соль + md5(пароль)).
Так как даже с радужными таблицами, это будет практически невозможно хранить все возможные соленые хэши.
кстати, очевидно, что вы должны хранить свою соль с хэшем, чтобы вы могли аутентифицировать пользователя.
Comments