Fjalekalimet
Çfarë janë fjalëkalimet?
RedaktoShumica e llogarive (accounts) në një sistem kompjuteri zakonisht kanë disa metoda kufizimi të llogarive, zakonisht në formë fjalëkalimi. Kur të kesh të drejta në sistem, përdoruesit i duhet të shkruaj një ID te vlefshme për ta përdor sistemin, e ndjekur nga një fjalëkalim që ta përdor llogarinë. Shumica e sistemeve nuk e pasqyrojnë në shesh fjalëkalimin ashtu siç është shtypur, ose ata e shkruajnë nga një yll për çdo karakter. Në shumicën e sistemeve fjalëkalimi është i nisur ndërmjet disa algoritmeve që prodhojnë të ashtuquajturën hash (që do të thotë një përzierje, rrëmuje). Hash, pra është zakonisht më shumë se një përzierje e versioneve origjinale të tekstit që e krijojnë fjalëkalimin, është zakonisht hash njëkahësh. Hashi njëkahësh është varg i karaktereve të cilat nuk mund të konvertohen në tekst. Pra, shumica e sistemeve nuk i dekodojnë fjalëkalimet e ruajtura gjatë vërtetimit, ata i ruajnë në hashe njëkahësore. Gjatë procesit të kyçjes, ti e plotëson llogarinë me emrin dhe fjalëkalimin. Fjalëkalimi niset nëpërmes një algoritmi që prodhon hashe njëkahësore. Ky hash është i krahasuar me hashin e ruajtur në sistem. Nëse janë të njëjtë, do të tregoje së fjalëkalimi është aprovuar. Të flasim, disa algoritme janë më të mira se disa tjera në prodhimin e hasheve njëkahësorësh. Të gjitha sistemet operative të cilat i mbulojmë këtu -- Windows and Unix – të gjitha përdorin algoritme të cilat janë të krijuara publikisht dhe janë shikuar dhe vëzhguar në disa shkalle. Të thyesh një fjalëkalim kërkohet të kopjosh hashin njëkahësor të ruajtur në ndonjë sistem, dhe atëherë duke përdorur algoritmet prodhojnë hashin tënd deri sa të ketë një përputhje. Kur të përputhen, sidoqoftë fjala që përdoret ju të prodhoni hashin tuaj do t’iu lejoj juve të kyçeni në sistem. Ka shume “freeware password cracker” të gatshëm në internet për Windows and Unix.
Pse mbrohen hashet?
RedaktoNëse hashet një kahësore nuk janë fjalëkalimet vet por derivate matematike, pse duhet të mbrohen? Mire, atëherë që nga i dimë algoritmet, një thyes fjalëkalimesh mund të përdoret thjesht që të dekodoj fjalëkalimet e mundshme dhe ti krahasoj me hashet njëkahëshe derisa sa të ketë përputhje. Ekzistojnë dy mënyra për në ketë rrugë -- “dictionary” dhe “brute-force”. Zakonisht hashet janë të ruajtura në pjesë të sistemit që kanë ekstra sigurim që të limitojnë qasjen nga cracker-et e mundshëm.
Çka është “dictionary” thyesh fjalëkalimesh?
RedaktoNjë fjalor (dictionary) thyesh fjalëkalimesh thjesht merr një listë të fjalëve të fjalorëve, dhe i kodon ato që të shikon nëse kodohen me ato hashet një kahëshe nga sistemi. Nëse hashet janë të barabarta, fjalëkalimi konsiderohet i thyer, dhe fjala që është përdorur nga fjalori është fjalëkalimi. Disa nga këta thyesh fjalorësh (dictionary crackers) mund të manipulojnë secilën fjalë në listën e fjalëve duke përdorur filtra. Këto filtra i mundësojnë të ndërrojnë: “hacker” në “h4ck3r” dhe mënyra të tjera të avancuara. Më të mirët e njohur nga këta filtër janë rregullat të cilat vijnë me “Crack”(per Unix). Këto rregulla filtrimi janë shumë të popullarizuara dhe përdoren të thyhen aplikacione të windowsit. Nëse je ti një “dictionary cracker” nuk do të kesh rregulla manipulimesh, ti mund të kombinosh me listën e fjalëve. Ka shume vegla të mira për manipulimin e listave të fjalëve që ju mundësojnë të gjitha llojet e filtrave. Me një punë të vogël, ti mund të kthesh një koleksion të vogël fjalësh në një listë gjigante.
Çfarë është “brute-force” thyesh fjalëkalimesh?
Redakto“Brute force” thyesi thjesht provon të gjitha fjalëkalimet e mundshme deri sa të merr fjalëkalimin e duhur. Nga një perspektive e thyesit, kjo të merr shumë kohë. Sido që të jetë, nëse i jep kohe të mjaftueshme dhe fuqi të CPU fjalëkalimi eventualisht mund të thyhet. Pothuaj të gjithë “brute force” thyesit modern lejojnë numër te opsioneve të zgjedhësh, si maksimumi i zgjatjes së fjalëkalimit ose karakteret që të bëj “brute force”.
Cila është metoda më e mirë e thyerjes?
RedaktoVërtet kjo bazohet në cakun tuaj, aplikacionin thyesh që ke, dhe sistemin operativ që po mundohesh të thyesh. Lë të shkojmë në mes disa plan veprimeve. Nëse caku juaj është të kesh qasje në një sistem. Me fjalëkalimin që din, ti ke llogarinë e përdoruesit dhe hashin. Një “dictionary attack” duket se është më e shpejta metodë. Kjo është tipike nëse ke një metodë bazike që të kesh qasje të marrësh statusin e pronarit. Nëse je duke thyer një program mund të bëjnë që të dyja “dictionary” dhe “brute force”, dhe që të dyja janë si të ngadalshme, ti dëshiron vetëm të hedhesh një sulm “brute force” dhe pastaj të shikosh rreth ditës. Nga të gjitha kuptimet unë të rekomandoj një sulm “dicitonary” me liste fjalësh të kombinuara, të ndjekur me brute force vetëm nëse llogarite të cilat vërtet po ju donë fjalëkalimet. Ty të duhet para-përpunimet e listës së fjalëve nëse makina të cilën ti je ka shkon të thyesh nga kompjuteri yt duhet të jetë e forte. P.sh. disa kompjuter të ngadalshëm ju merr shumë kohë, shumë që të kryejnë punën e tyre me “brute-force” apo me “dictionary”. Shumë hacker serioz kanë lista të mëdha të rregulluara dhe të kombinuara mirë që i përshtaten dhe i duhen.
Çka është “salt”?
RedaktoQë të zhvillosh punën në thyerjen fjalëkalimeve, disa algoritme punësojnë “salts” që të shtojnë më tej komplikimin dhe vështirësitë në thyerjen e fjalëkalimeve. Këto “salts” janë që nga 2 deri ne 8 bit të gjata, dhe algoritmet njoftojnë për shtimin e errësirës në hashet një kahësore. Në rendësi të madhe sistemet operative mbulojnë ketë, vetëm Windows nuk përdor “salt”. Sistemi Unix përdor “salt” dhe mbulon pjesë individuale te fjalëkalimeve.
Cili është rreziku i thyerjes së fjalëkalimeve?
RedaktoRreziku është i thjesht, dhe i vërtet. Nëse je zëne me një fajll fjalëkalimesh nga sistemet ti nuk do të kesh të drejta qasje më në të, ti teknikisht je në pozicionin e vjedhësit në syt e përfaqësuesve te ligjit. Nisjen e një programi thyes (cracking software) në fshehtësi në shtëpinë tënde i ka përparësitë e lejimit tënd që të hedhesh të gjitha fuqitë kompjuterike që ke në dispozicion në një fjalëkalim, por nëse kapesh atëherë është një pune e vogël të zbulohesh se po e kryen punën e thyerjes së fjalëkalimeve, por janë disa mundësi të vogla që mund të bësh për mbrojtjen e vetes.