Чому солі роблять словникові атаки «неможливими»?

Оновлення: Зверніть увагу: я не питаю, що таке сіль, що таке райдужний стіл, що таке атака за словником чи яке призначення солі. Я запитую: якщо ви знаєте, що користувачі солять і хеш, чи не так просто розрахувати їх пароль?

Я розумію процес і сам реалізую його в деяких своїх проектах.

s =  random salt
storedPassword = sha1(password + s)

У базі даних, яку ви зберігаєте:

username | hashed_password | salt

Кожна реалізація засолювання, яку я бачив, додає сіль або в кінці пароля, або на початку:

hashed_Password = sha1(s + password )
hashed_Password = sha1(password + s)

Тому, атака словника від хакера, який вартий своєї солі (ха-ха), просто запускатиме кожне ключове слово проти збереженої солі у загальних комбінаціях, перелічених вище.

Звичайно, реалізація, описана вище, просто додає ще один крок для хакера, фактично не вирішуючи основної проблеми? Які альтернативи є, щоб обійти цю проблему, чи я не розумію проблему?

Єдине, що я можу подумати, це створити секретний алгоритм змішування, який поєднує сіль і пароль разом у випадковому порядку, або додає інші користувацькі поля до процесу хешування, тобто хакер повинен мати доступ до бази даних І коду для мережива їх за словникову атаку, яка виявилася плідною. (Оновлення, як зазначено в коментарях, найкраще припустити, що хакер має доступ до всієї вашої інформації, тому це, мабуть, не найкраще).

Дозвольте навести приклад того, як я пропоную хакеру зламати базу даних користувачів зі списком паролів та хешів:

Дані з нашої зламаної бази даних:

RawPassword (not stored)  |  Hashed   |     Salt
--------------------------------------------------------
letmein                       WEFLS...       WEFOJFOFO...

Спільний словник паролів:

   Common Password
   --------------
   letmein
   12345
   ...

Для кожного запису користувача циклічно використовуйте загальні паролі та хешуйте їх:

for each user in hacked_DB

    salt = users_salt
    hashed_pw = users_hashed_password

    for each common_password

        testhash = sha1(common_password + salt)
        if testhash = hashed_pw then
           //Match!  Users password = common_password
           //Lets visit the webpage and login now.
        end if

    next

next

Сподіваюсь, це набагато ілюструє мою думку.

Враховуючи 10 000 загальних паролів і 10 000 записів користувачів, нам потрібно було б розрахувати 100 000 000 хешів, щоб виявити якомога більше паролів користувачів. Це може зайняти кілька годин, але насправді це не проблема.

Оновлення щодо теорії розтріскування

Ми будемо вважати, що ми є пошкодженим веб-хостом, який має доступ до бази даних хешів та солей SHA1, а також ваш алгоритм їх поєднання. База даних містить 10 000 записів користувачів.

Цей сайт стверджує, що він може обчислити 2 300 000 000 хешів SHA1 за секунду за допомогою графічного процесора. (В реальному світі ситуація, ймовірно, буде повільнішою, але наразі ми будемо використовувати цю цитовану цифру).

(((95 ^ 4) / 2300000000) / 2) * 10000 = 177 секунд

Враховуючи повний діапазон 95 друкованих символів ASCII, максимальна довжина 4 символи, поділена на швидкість обчислення (змінна), поділена на 2 (припускаючи, що середній час пошуку пароля в середньому вимагатиме 50% перестановок) на 10000 користувачам знадобиться 177 секунд для вироблення всіх паролів користувачів, де довжина <= 4.

Давайте трохи підкоригуємо це для реалізму.

(((36 ^ 7) / 1000000000) / 2) * 10000 = 2 дні

Припускаючи відсутність чутливості до регістру, при довжині пароля <= 7, лише буквено-цифрові символи, для вирішення 10 000 записів користувачів знадобиться 4 дні, і я зменшив удвічі швидкість алгоритму, щоб відобразити накладні та неідеальні обставини.

Важливо визнати, що це лінійна атака грубої сили, всі розрахунки не залежать один від одного, тому це ідеальне завдання для вирішення кількох систем. (IE легко налаштувати 2 комп’ютери, які запускають атаки з різних кінців, що скорочувало б половину часу виведення).

Враховуючи випадок рекурсивного хешування пароля 1000 разів, щоб зробити це завдання більш обчислювально дорогим:

(((36 ^ 7) / 1 000 000 000) / 2) * 1000 секунд = 10,8839117 годин

Це являє собою максимальну довжину 7 алфавітно-цифрових символів при виконанні менш ніж на половину швидкості від вказаного рисунка для одного користувача .

Рекурсивне хешування 1000 разів ефективно блокує загальну атаку, але цілеспрямовані атаки на дані користувачів все ще вразливі.

Так, вам потрібно всього 3 дні для sha1 (сіль | пароль). Тому хороші алгоритми зберігання паролів використовують 1000-ітераційне хешування: вам знадобиться 8 років.

Це не зупиняє словникові атаки.

Що це робить, це зупинити когось, кому вдається отримати копію файлу вашого пароля, використовувати таблицю веселки, щоб з’ясувати, які паролі є з хешів.

Врешті-решт, це може бути примусово. Відповідь на цю частину полягає в тому, щоб змусити користувачів не використовувати словникові слова як паролі (наприклад, мінімальні вимоги принаймні одного числа або спеціального символу).

Оновлення :

Я повинен був згадувати про це раніше, але деякі (більшість?) Систем паролів використовують різну сіль для кожного пароля, ймовірно, що зберігається з самим паролем. Це робить єдиний райдужний стіл марним. Ось як працює криптова бібліотека UNIX , і сучасні UNIX-подібні ОС розширили цю бібліотеку новими хеш-алгоритмами.

Я точно знаю, що підтримка SHA-256 та SHA-512 була додана в новіших версіях GNU crypt.

Точніше кажучи, атака за словником , тобто атака, при якій намагаються всі слова у вичерпному списку, стає не «неможливою», але стає недоцільною : кожен шматочок солі подвоює обсяг пам’яті та обчислень .

Це відрізняється від заздалегідь розрахованих словникових атак, таких як атаки, що стосуються таблиць веселки, де не має значення, є сіль секретною чи ні.

Приклад: За допомогою 64-бітної солі (тобто 8 байт) вам потрібно перевірити 2 ⁶⁴ додаткові комбінації паролів у вашій атаці на словник. За допомогою словника, що містить 200 000 слів, вам доведеться скласти

200 000 * 2 ⁶⁴ = 3,69 * 10 ²⁴

тести в гіршому випадку - замість 200 000 тестів без солі.

Додатковою перевагою використання солі є те, що зловмисник не може попередньо обчислити хеші паролів зі свого словника. Це просто зайняло б занадто багато часу та / або місця.

Оновлення

Ваше оновлення передбачає, що зловмисник вже знає сіль (або вкрав її). Звичайно, це інша ситуація. Проте зловмисник не може використовувати заздалегідь розраховану таблицю веселки. Тут важливе значення має швидкість функції хешування. Щоб зробити напад непрактичним, функція хешування повинна бути повільною. MD5 або SHA тут не є хорошими кандидатами, оскільки вони розроблені для швидкого використання, кращими кандидатами для алгоритмів хешування є Blowfish або деякі його варіації.

Оновлення 2

Вдале прочитання щодо захисту хешей паролів загалом (виходить далеко за рамки початкового питання, але все одно цікаве):

Досить із таблицями веселки: що потрібно знати про безпечні схеми паролів

Висновок статті: Використовуйте солоні хеші, створені за допомогою bcrypt (на основі Blowfish) або Eksblowfish, що дозволяє використовувати настроюваний час налаштування, щоб зробити хешування повільним.

Словник - це структура, де значення індексуються ключами. У разі попередньо розрахованої атаки словника кожен ключ є хешем, а відповідне значення - паролем, що приводить до хешу. Маючи в руках попередньо обчислений словник, зловмисник може «миттєво» шукати пароль, який створить необхідний хеш для входу.

З сіллю простір, необхідний для зберігання словника, швидко зростає ... настільки швидко, що спроба попередньо обчислити словник паролів незабаром стає безглуздою.

Найкращі солі вибираються випадковим чином із криптографічного генератора випадкових чисел. Вісім байт - це практичний розмір, а більше 16 байтів не мають жодної мети.

Сіль робить набагато більше, ніж просто «робить роботу зловмисника більш дратуючою». Він усуває цілий клас атак - використання попередньо обчислених словників.

Ще один елемент необхідний для повного захисту паролів, а саме "посилення ключів". Один раунд SHA-1 недостатньо хороший: алгоритм безпечного хешування паролів повинен бути дуже повільним обчислювально.

Багато людей використовують PBKDF2, ключову функцію виведення, яка тисячі разів передає результати до хеш-функції . Алгоритм "bcrypt" подібний, використовуючи ітераційне виведення ключа, яке є повільним.

Коли операція хешування дуже повільна, попередньо обчислена таблиця стає все більш бажаною для зловмисника. Але належні сольові поразки наближаються.

Коментарі

Нижче наводяться коментарі, які я зробив з цього питання.

Без солі зловмисник не використовував би метод, продемонстрований у "Оновлення 2". Він просто виконував пошук у заздалегідь обчисленій таблиці і отримував пароль за час O (1) або O (log n) (n - кількість кандидатів-паролів). Сіль - це те, що заважає цьому і змушує його використовувати підхід O (n), показаний у "Оновлення 2".

Після зведення до атаки O (n) ми повинні врахувати, скільки часу триває кожна спроба. Підсилення ключів може призвести до того, що кожна спроба циклу триватиме цілу секунду, це означає, що час, необхідний для тестування 10k паролів для 10k користувачів, триватиме від 3 днів до 3 років ... і лише з 10k паролями ви, швидше за все, зламаєте нуль паролі в той час.

Ви повинні врахувати, що зловмисник буде використовувати найшвидші інструменти, які він може, а не PHP, тому тисячі ітерацій, а не 100, будуть хорошим параметром для посилення ключів. Щоб обчислити хеш для одного пароля, знадобиться велика частка секунди.

Посилення ключів є частиною стандартних алгоритмів виведення ключів PBKDF1 та PBKDF2, від PKCS # 5, які створюють чудові алгоритми затухання пароля ("похідний ключ" - "хеш").

Багато користувачів на StackOverflow посилаються на цю статтю, оскільки це була відповідь на допис Джеффа Етвуда про небезпеку райдужних столів. Це не моя улюблена стаття, але вона детальніше обговорює ці концепції.

Звичайно, ви припускаєте, що у зловмисника є все: сіль, хеш, ім’я користувача. Припустимо, що зловмисник - корумпований працівник хостингової компанії, який кинув таблицю користувачів на ваш фанатський сайт myprettypony.com. Він намагається відновити ці паролі, тому що збирається обернутися і перевірити, чи використовували ваші шанувальники поні той самий пароль на своїх рахунках citibank.com.

Завдяки добре продуманій схемі паролів цьому хлопцеві буде неможливо відновити будь-які паролі.

Суть засолювання полягає у запобіганні амортизації зусиль нападника.

Без солі єдину таблицю попередньо обчислених записів хеш-паролів (наприклад, MD5 усіх буквено-цифрових рядків із 5 символів, які легко знайти в Інтернеті) можна використовувати для кожного користувача в будь-якій базі даних у світі.

За допомогою солі, специфічної для сайту, зловмисник повинен обчислити таблицю самостійно, а потім може використовувати її для всіх користувачів сайту.

Вживаючи сіль для кожного користувача, зловмисник повинен витратити ці зусилля на кожного користувача окремо.

Звичайно, це не робить багато для захисту дійсно слабких паролів прямо зі словника, але захищає досить надійні паролі від цієї амортизації.

Також - ще один важливий момент - використання специфічної для ПОЛІЗНИКА солі запобігає виявленню двох користувачів з ТИМ самим паролем - їх хеші будуть збігатися. Тому багато разів хеш є хеш (сіль + ім'я користувача + пароль)

Якщо ви намагаєтеся зберегти хеш-секрет, зловмисник також не може перевірити хеші.

Редагувати - я просто помітив, що головне було зроблено у коментарі вище.

Солі застосовуються для запобігання атакам райдужного столу. Веселкова таблиця - це список заздалегідь розрахованих хешів, що робить переклад хешу у його фразу набагато простішим. Ви повинні розуміти, що засолювання не є ефективним засобом попередження злому пароля, якщо у нас немає сучасного алгоритму хешування.

Отже, скажімо, ми працюємо з SHA1, користуючись перевагами нещодавніх подвигів, виявлених за допомогою цього альго, і скажімо, у нас є комп’ютер, що працює зі швидкістю 1 000 000 хешів / секунду щоб знайти зіткнення знадобиться 5,3 мільйона мільйонів років , так що так, php може працювати 300 секунд, великий вуп, насправді не має значення. Причина, по якій ми солимо, полягає в тому, що якщо хтось потрудився генерувати всі типові словникові фрази, (2 ^ 160 людей, ласкаво просимо до подвигів ери 2007 року).

Отже, ось фактична база даних, у якій 2 користувачі я використовую для тестування та адміністративних цілей.

RegistrationTime        UserName        UserPass    
1280185359.365591       briang      a50b63e927b3aebfc20cd783e0fc5321b0e5e8b5
1281546174.065087       test        5872548f2abfef8cb729cac14bc979462798d023

Насправді схема соління - це ваш sha1 (час реєстрації + ім'я користувача). Вперед, скажіть мені мій пароль, це справжні паролі у виробництві. Ви навіть можете там сидіти і хешувати список слів у php. Здичавіти.

Я не божевільний, я просто знаю, що це безпечно. Для розваги пароль тесту - test. sha1(sha1(1281546174.065087 + test) + test) = 5872548f2abfef8cb729cac14bc979462798d023

Вам потрібно буде генерувати всю таблицю веселки perpended з 27662aee8eee1cb5ab4917b09bdba31d091ab732для всього цього користувача. Це означає, що я дійсно можу дозволити, щоб мої паролі не були скомпрометовані однією райдужною таблицею, хакер повинен сформувати всю таблицю веселки для 27662aee8eee1cb5ab4917b09bdba31d091ab732 для тестування і знову f3f7735311217529f2e020468004a2aa5b3ang. Згадайте 5,3 мільйона мільйонів років за всі хеші. Подумайте про розмір зберігання лише 2 ^ 80 хешів (це значно більше 20 йотабайт ), цього не станеться.

Не плутайте засолювання як засіб створення хешу, чого ви ніколи не зможете декодувати, це засіб запобігання райдужній таблиці перекладати всі ваші паролі користувачів. На цьому рівні технологій це неможливо.

Ідея атаки на словник полягає в тому, що ви берете хеш і знаходите пароль, з якого цей хеш був розрахований, без обчислення хешу. Тепер зробіть те ж саме із засоленим паролем - не можна.

Відсутність солі робить пошук пароля таким же простим, як пошук у базі даних. Додаючи сіль, зловмисник виконує хеш-розрахунок усіх можливих паролів (навіть для вкладеного словника це значно збільшує час атаки).

Найпростішими словами: без просочування, кожен кандидат-пароль потрібно хешувати лише один раз, щоб перевірити його щодо кожного користувача в будь-якому місці "відомого всесвіту" (колекція скомпрометованих баз даних), чий пароль хешується за допомогою того самого алгоритму. При засолюванні, якщо кількість можливих значень солі значно перевищує кількість користувачів у "відомому всесвіті", кожен кандидат-пароль повинен хешуватися окремо для кожного користувача, щодо якого він буде перевірятися.

Простіше кажучи, засолювання не заважає хешу атакувати (bruteforce або словник), це лише ускладнює; зловмисникові потрібно буде або знайти алгоритм соління (який при правильному впровадженні використовуватиме більше ітерацій), або жорстоко застосувати альго, що, якщо не дуже просто, майже неможливо. Соління також майже повністю відкидає можливість пошуку весільних столів ...

Сіль робить Веселковий стіл атаки на оскільки набагато важче зламати один хеш пароля. Уявіть, що у вас є жахливий пароль лише цифри 1. Атака на райдужному столі негайно це зламає.

А тепер уявіть, що кожен пароль у базі даних посолений довгим випадковим значенням багатьох випадкових символів. Тепер ваш паршивий пароль "1" зберігається в базі даних як хеш 1 плюс купа випадкових символів (сіль), тому в цьому прикладі у райдужній таблиці повинен бути хеш для приблизно такого: 1.

Отже, припускаючи, що ваша сіль є чимось захищеним і випадковим, скажімо ()% ISLDGHASKLU ( % #% #, таблиця веселки хакера повинна мати запис для 1 * ()% ISLDGHASKLU (*% #% #. Тепер використовуємо райдужну таблицю навіть цей простий пароль вже не практичний.