آموزش رایگان سکیوریتی پلاس: هکرها چگونه رمزهای عبور را می‌شکنند

برای مطالعه بخش قبل روی این آدرس کلیک کنید.

نگاهی به حملات رمز عبور

یک نوع بسیار مهم از حمله که باید با آن آشنا باشید، حمله رمز عبور است. حمله گذرواژه تلاش یک هکر برای کشف رمز عبور حساب‌های کاربری ذخیره شده در سیستم است. در این بخش انواع مختلف حملات رمز عبور و نحوه جلوگیری از وقوع حملات رمز عبور در محیط‌های سازمانی را بررسی می‌کنیم. توجه داشته باشید که این حملات به عنوان حملات رمزنگاری نیز شناخته می‌شوند که در آزمون سکیوریتی پلاس گاهی اوقات به‌نام حمله‌های رمزنگاری به آن‌ها اشاره می‌شود.

انواع حملات رمز عبور

سه نوع اصلی حملات رمز عبور عبارتند از حملات فرهنگ لغت، حملات جست‌وجوی فراگیر (brute-force) و حملات ترکیبی. در این بخش با هر یک از این حمله‌های رمز عبور همراه با سایر مفاهیم مرتبط با حمله رمز عبور مانند اسپری spraying، جداول رنگین کمان (rainbow) و رمزهای عبور متن ساده آشنا خواهید شد.

حمله لغت نامه

حمله دیکشنری یا همان لغت‌نامه شامل استفاده هکر از برنامه‌ای می‌شود که فهرستی از نام‌های کاربری محبوب را در یک فایل متنی و فهرستی از کلمات را در فرهنگ لغت زبان دارد که قرار است به عنوان رمز عبور در فایل دیگری بیازماید. فایل فرهنگ لغت به‌طور معمول شامل تمام کلمات یک زبان است و می‌توان آن‌را از اینترنت دانلود کرد. شکل زیر یک ابزار حمله فرهنگ لغت به نام NetBIOS Authentication Tool (NAT) و نمونه فایل لیست کاربر و فایل لیست رمز عبور را نشان می‌دهد.

مزیت حمله دیکشنری از دیدگاه هکرها این است که یک نوع حمله بسیار سریع و کارآمد است، زیرا تمام کاری که انجام می‌دهد خواندن محتویات یک فایل است—هیچ محاسبه ریاضی از جانب نرم‌افزار شکستن رمز عبور لازم نیست. نقطه ضعف حمله دیکشنری این است که اکثر رمزهای عبور امروزی رمزهای عبور پیچیده هستند به این معنا که به حروف، اعداد و نمادها نیاز دارند. این باعث می‌شود حمله دیکشنری بی‌اثر باشد، زیرا آن رمزهای عبور واژه‌های فرهنگ لغت نیستند.

حمله Brute-Force

حمله جست‌وجوی فراگیر (brute-force) شامل استفاده از نرم‌افزار شکستن رمز عبور برای محاسبه ریاضی رمزهای عبور ممکن است. بهرطور معمول، هکر نرم‌افزار شکستن رمز عبور را با الزاماتی مانند تعداد کاراکترها و استفاده از حروف، اعداد و نمادها پیکربندی می‌کند.

مزیت حمله brute-force از دیدگاه هکرها این است که بسیار مؤثر است،  به‌طوری که اگر زمان کافی برای انجام این کار داشته باشند رمزهای عبور یک سیستم را خواهند شکست. نقطه ضعف حمله brute-force به مدت زمانی باز می‌گردد که نیاز دارد تا کامل شود. با توجه به تعداد زیاد کاراکترهای رمزهای عبور ممکن، این فرایند سال‌ها طول بکشد تا شکستن رمز عبور کامل شود!

نکته: شما می‌توانید از ابزارهای شکستن رمز عبور برای ارزیابی پیچیدگی رمزهای عبور در شبکه خود استفاده کنید، اما به یاد داشته باشید که هک کردن بدون دلیل فرایندی غیرقانونی است. قبل از اجرای هرگونه ابزار حمله در محیط سازمانی حتماً از مدیریت سطح بالا مجوز کتبی دریافت کنید.

حمله هیبریدی

نوع دیگری از حمله رمز عبور به عنوان حمله ترکیبی شناخته می‌شود. یک حمله ترکیبی شامل نرم‌افزار شکستن رمز عبور با استفاده از یک فایل فرهنگ لغت است، اما پس از این‌که نرم‌افزار یک کلمه از فایل فرهنگ لغت را امتحان کرد، سپس سعی می‌کند کلمه را تغییر دهد. نمونه‌هایی از تغییراتی که نرم‌افزار کرک استفاده می‌کند قرار دادن اعداد بعد از کلمه و احتمالاً جایگزینی کاراکترها است. به عنوان مثال، پس از استفاده از کلمه "house"، نرم‌افزار سپس "house1"، "house2" و غیره را امتحان می‌کند. نمونه‌هایی از سناریوهای محبوب جایگزینی کاراکتر عبارتند از جایگزینی "a" در کلمه با نماد "@"، جایگزینی "L" با عدد "1" و جایگزینی "o" با "0". شکل زیر نتایج ممیزی رمز عبور با استفاده از LC4 را نشان می‌دهد. دقت کنید که چند کلمه عبور از طریق این حمله ترکیبی کشده شده است که رمز عبور user5 یکی از آن‌ها است.

Password Spraying

Password Spraying نوعی حمله به حساب‌های کاربری است که شامل ارسال رمز عبور متداول توسط مهاجم به حساب‌های مختلف می‌شود تا ببیند آیا هر یک از حساب‌ها از رمز عبور مشترک استفاده می‌کنند یا خیر. برای آزمون سکیوریتی پلاس باید در ارتباط با این مدل حمله اطلاعات کافی داشته باشید. همچنین باید بدانید که اگر به یک فایل گزارش نگاه می‌کنید و می‌بینید که رمز عبور یکسان با نام‌های حساب‌های مختلف استفاده می‌شود، باید چه کاری انجام دهید تا شانس هکرها برای پیاده‌سازی موفقیت‌آمیز این حمله را کم کنید. اگر مشاهده کردید یک حساب کاربری سعی می‌کند به روش‌های مختلف به سیستم در مدت زمان کوتاهی وارد شود، نشان می‌دهد که یک حمله لغت‌نامه یا brute-force و نه حمله Password Spraying در حال انجام است.

جداول رنگین کمان (Rainbow Tables)

جداول رنگین کمان برای سرعت بخشیدن به فرآیند انجام یک حمله brute-force استفاده می‌شود. حملات brute-force ممکن است زمان‌بر باشند. برای سرعت بخشیدن به این فرآیند، هکر می‌تواند جدول رنگین کمانی را ایجاد کند که فایلی است که حاوی تمام رمزهای عبور ریاضی ممکن بر اساس معیارهای ارائه شده توسط مولد جدول رنگین کمان است. جداول Rainbow زمانی مفید هستند که هکر در حال انجام حمله است، زیرا محاسبات از قبل در جدول (فایل) وجود دارد و هکر به سادگی یک فایل را می‌خواند. بنابراین هکر از پیچیدگی یک حمله brute-force استفاده می‌کند، اما به‌طور همزمان از سرعت یک حمله فرهنگ لغت نیز بهره می‌برد.

متن ساده / رمزگذاری نشده

یکی دیگر از انواع متداول حمله رمز عبور، حمله با متن ساده (KPA) یا حمله رمزگذاری نشده است. با یک حمله متن ساده، هکر مقدار متن ساده رمز عبور (معروف به گهواره) و نسخه رمزگذاری شده مربوطه (متن رمز شده) را می‌داند. با این اطلاعات، هکر می‌تواند روی کشف کلیدهای رمزگذاری و سایر رمزهای عبور کار کند.

حملات رمزنگاری و مفاهیم

در مقالات قبلی با مفاهیم محرمانگی و یکپارچگی آشنا شدید و در مقالات آتی با این سرویس‌های رمزنگاری بیشتر آشنا خواهید شد، اما در این بخش می‌خواهم شما را با حملات علیه سرویس‌های رمزنگاری آشنا کنم.

روز تولد (Birthday)

حمله روز تولد روی توابع هش انجام می‌شود. مشخص شده است که اگر ورودی داده کافی را آزمایش کنید، متوجه خواهید شد که دو ورودی داده متفاوت مقدار هش یکسانی را تولید می‌کنند. رویکرد فوق به‌نام حمله روز تولد شناخته می‌شود، زیرا این نظریه بر این واقعیت استوار است که وقتی یک گروه بزرگ و تصادفی از افراد را انتخاب می‌کنید، افرادی با تاریخ تولد تکراری خواهید داشت.

حملات تصادم و کاهش امتیازات

پروتکل‌های هش‌سازی عامل ایجاد تصادم هستند و اشاره به زمانی دارند که دو قطعه مختلف داده‌ای، مقدار هش یکسانی را ایجاد می‌کنند. هرچه تعداد بیت‌ها بیشتر باشد، شانس کمتری وجود دارد که دو قطعه داده متفاوت یک مقدار هش ایجاد کنند.

حمله کاهش رتبه یا امتیازات یک حمله رمزنگاری است که در آن مهاجم یک اتصال شبکه بین دو سیستم ایجاد می‌کند تا پروتکل رمزگذاری با کیفیت بالا را حذف کند و با یک پروتکل رمزگذاری ایمن کمتر پیش رود. مهاجم این‌کار را انجام می‌دهد تا شانس بیشتری برای شکستن ارتباطات رمزگذاری شده ضعیف‌تر به‌دست آورد.

حملات آنلاین در مقابل آفلاین

همانط‌ور که قبلا ذکر شد، حملات رمز عبور می‌توانند آنلاین یا آفلاین باشند. با یک حمله آنلاین، هکر در تلاش است تا رمز عبور سیستم فعال را بشکند. مشکل این است که هکر در معرض خطر شناسایی و قفل کردن حساب‌ها است. اگر هکر بتواند یک کپی از پایگاه داده حساب کاربری را روی یک فلش درایو دریافت کند، هکر می‌تواند به دفعات آزمایش خود را روی رمزهای عبور انجام دهد تا در نهایت آن‌ها را به شکل آفلاین بشکند.

نه تنها خطر شناسایی هکر با حملات آنلاین وجود دارد، بلکه معمولاً هکر زمان کافی برای انجام یک حمله رمز عبور کامل به صورت آنلاین ندارد، بنابراین گرفتن یک کپی از بانک‌های اطلاعاتی حساب به صورت آفلاین و تلاش برای شکستن آن‌ها به صورت آفلاین به مراتب ساده‌تر است. در این حالت هکر هیچ محدودیت زمانی ندارد.

سایر شرایط حمله رمز عبور

وقتی صحبت از دنیای حملات رمز عبور به میان می‌آید، تعدادی اصطلاح وجود دارد که باید برای آزمون سکیوریتی‌پلاس با آن‌ها آشنا باشید. موارد زیر سایر اصطلاحات حمله رمز عبور هستند که دانستن آن‌ها ضروری است:

■   بازپخش (Replay): حمله مجدد گذرواژه زمانی است که هکر مکالمه‌ای را شنود می‌کند و هش رمز عبور ارسالی از سیستم کلاینت به سرور را ضبط می‌کند. هنگامی که هکر مقدار هش را بدست آورد از آن برای جعل هویت کلاینت اصلی و دسترسی به سرور استفاده می‌کند.

■   اجرای ضعیف: گذرواژه‌ها را می‌توان رمزنگاری کرد تا به عنوان متن ساده قابل شناسایی نباشند، اما گاهی اوقات رمزگذاری به بهترین شکل ممکن انجام نمی‌شود. به عنوان مثال، رمزهای عبور ویندوز در پایگاه داده SAM هش می‌شوند، اما به دو هش هفت کاراکتری تقسیم می‌شوند. رویکرد فوق به هکر اجازه می‌دهد تا به راحتی تشخیص دهد که آیا کاربری رمز عبور کمتر از هشت کاراکتر دارد یا خیر، زیرا آخرین قسمت هش رمز عبور برای همه آن رمزهای عبور یکسان است.

جلوگیری از بروز حملات رمز عبور

درک نحوه پیشگیری از بروز حملات رمز عبور در یک محیط مهارت مهم برای هر متخصص امنیت است.

برای جلوگیری از حملات فرهنگ لغت علیه سیستم‌های خود، باید یک خط‌مشی رمز عبور قوی اجرا کنید و از کاربران بخواهید از رمزهای عبور پیچیده استفاده کنند. رمز عبور پیچیده رمز عبوری است که ترکیبی از حروف بزرگ و کوچک دارد و از اعداد و نمادها استفاده می‌کند. همچنین باید اطمینان حاصل کنید که کاربران گذرواژه‌هایی با حداقل هشت کاراکتر ایجاد می‌کنند.

پیاده‌سازی پیچیدگی رمز عبور از سیستم شما در برابر حملات brute-force محافظت نمی‌کند، بنابراین باید یک سیاست قفل حساب را برای محافظت از سیستم خود در برابر آن‌ها اجرا کنید. اگر از خط‌مشی قفل حساب استفاده می‌کنید پس از تعداد معینی ورودی نامناسب، حساب قفل می‌شود و تا زمانی که سرپرست آن‌را باز نکند، نمی‌توان از آن استفاده کرد. اکثر شرکت‌ها یک سیاست قفل کردن حساب را اجرا می‌کنند که پس از سومین تلاش بد برای ورود به سیستم، حساب را قفل می‌کند. خط‌مشی قفل کردن حساب، زمان لازم برای انجام یک حمله brute-force را از بین می‌برد. به‌طوری که پس از سومین تلاش بد برای ورود به سیستم، حساب کاربری قفل می‌شود.

یکی از نکاتی که باید در مورد خط‌مشی رمز عبور و خط‌مشی قفل کردن حساب خود بدانید این است که اگر هکر حمله آفلاین رمز عبور را انجام دهد، کار خاصی نمی‌توانید انجام دهید. در یک حمله رمز عبور آفلاین، هکر به سیستم دسترسی فیزیکی پیدا می‌کند، پایگاه داده حساب کاربری را در یک فلش درایو کپی می‌کند و پس از انجام موفقیت‌آمیز کارهایی که نیاز دارد پایگاه داده را از بین می‌برد. اکنون هکر با اطمینان خاطر حمله خود را پیاده‌سازی می‌کند، جایی که شما هیچ خط‌مشی رمز عبور یا خط‌مشی قفل کردن حساب ندارید. پس از این‌که هکر رمزهای عبور را شکست، می‌تواند با استفاده از نام‌های کاربری و رمزهای عبور کشف شده به سیستم‌ها دسترسی پیدا کند.

حمله آفلاین رمز عبور زمانی است که هکر پایگاه داده حساب کاربری را از سیستم شما در یک فلش درایو کپی می‌کند و آن‌را با خود می‌برد تا رمز عبور را شکسته کند. در این مثال، حمله رمز عبور متوقف نمی‌شود، زیرا هیچ خط‌مشی رمز عبور یا خط‌مشی قفل حساب در محل هکر وجود ندارد.

در زیر برخی از ابزارهای محبوب ممیزی و شکستن رمز عبور آورده شده است:

■   LC4: یک ابزار حسابرسی رمز عبور بسیار محبوب  است که می‌تواند برای دسترسی به رمزهای عبور کاربری در شبکه‌های مبتنی بر سیستم‌عامل‌های مایکروسافت استفاده شود. این میرتواند حملات دیکشنری، brute-force و ترکیبی را علیه پسوردها انجام دهد.

■   Cain & Abel: یک برنامه رمزگشایی بسیار کاربردی است. مزیت Cain & Abel این است که رایگان است و می‌تواند رمزهای عبور را در شبکه ضبط کند و با حملات دیکشنری یا brute-force آن رمزها را بشکند.

■   NAT: ابزار احراز هویت NetBIOS یک برنامه کوچک است که به شما امکان می‌دهد یک حمله فرهنگ لغت علیه سیستم ویندوز انجام دهید.

■   Brutus Brutus: از این نظر منحصر به فرد است که می‌تواند حمله رمز عبور را از طریق برنامه‌های مختلف اینترنتی مانند HTTP، FTP، POP3، و Telnet کپسوله کند.

■   John the Ripper: یک فرهنگ لغت بسیار محبوب و کرکر brute-force که روی ویندوز یا لینوکس قابل استفاده است.

جمع‌بندی مطالبی که در مورد حمله‌های رمزعبور به دست آوردیم:

تا این بخش از مقاله با انواع مختلف حملاتی که امروزه در محیط‌های محاسباتی رخ می‌دهند آشنا شدید. حتما دانش خود در ارتباط با این حمله‌ها را افزایش دهید. لیست زیر آن‌چه را که در مورد انواع مختلف حملات آموخته‌اید به شکل خلاصه‌وار ارایه می‌کند:

■ برخی از انواع مختلف حملات عبارتند از حملات مهندسی اجتماعی، حملات شبکه، حملات رمز عبور و حملات برنامه.

■ حملات مهندسی اجتماعی، حملاتی از طریق روش‌های تماس اجتماعی مانند تلفن یا ایمیل هستند، جایی که هکر سعی می‌کند شما را فریب دهد تا امنیت را به خطر بیندازید.

■ حملات شبکه شامل ورود هکر به شبکه و به خطر انداختن یک سیستم است. نمونه‌هایی از حملات شبکه عبارتند از sniffing، DoS، DDoS و حملات on-path (که قبلا به عنوان حملات man-in-the-middle شناخته می‌شد).

■ سه نوع حمله رمز عبور عبارتند از یک حمله فرهنگ لغت که از یک فایل که شامل کلمه‌های پیشنهادی است برای آزمایش کلمات عبور استفاده می‌کند. یک حمله brute-force که به صورت ریاضی همه رمزهای عبور بالقوه را محاسبه می‌کند و یک حمله ترکیبی که ورودی‌های فایل ورد را تغییر می‌دهد.

■ بهترین راه برای محافظت از محیط در برابر حملات مهندسی اجتماعی این است که کاربران خود را در مورد مهندسی اجتماعی آموزش دهید و به آن‌ها بگویید که در صورت شناسایی چنین حالاتی چه کاری باید انجام دهند.

با درک و مطالعه دقیق مطالب ارائه شده تا این بخش، هیچ مشکلی با سوالات مربوط به حمله در آزمون نخواهید داشت. نه تنها مطالب ارائه شده در این‌جا برای آزمون مهم است، بلکه در دنیای واقعی ارزش طلایی دارند، زیرا باعث می‌شوند در مورد حملات مختلف آگاه‌تر شوید.

در شماره آینده مبحث فوق را ادامه می‌دهیم.

برای مطالعه تمام قسمت‌های آموزش سکوریتی پلاس اینجا کلیک کنید.

معرفی آموزشگاه شبکه و امنیت

تهران: آموزشگاه عصر رایان شبکه

• مهندس اطلاعات 
• تلفن: 02188549150           کانال: Asrehshabakeh@

تبلیغات لینکی: 

سایت استخدام