Войти
В криптоанализ и компьютерная безопасность, атака по словарю - это форма атаки грубой силой для взлома шифра или механизма аутентификации путем попытки определить его ключ дешифрования или парольную фразу путем проверки тысяч или миллионов вероятных вариантов, таких как слова в словаре или ранее использованные пароли, часто из списков, полученных в результате прошлых нарушений безопасности.
Атака по словарю основана на проверке всех строк в заранее составленном списке. В таких атаках изначально использовались слова, которые можно найти в словаре (отсюда и атака по словарю); однако сейчас в открытом Интернете доступны гораздо более обширные списки, содержащие сотни миллионов паролей, восстановленных в результате прошлых утечек данных. Существует также программа для взлома, которая может использовать такие списки и создавать общие варианты, например заменять похожие на числа буквы. Атака по словарю проверяет только те возможности, которые считаются наиболее вероятными. Атаки по словарю часто оказываются успешными, потому что многие люди склонны выбирать короткие пароли, которые являются обычными словами или обычными паролями; или варианты, полученные, например, добавлением цифры или символа пунктуации. Атаки по словарю часто бывают успешными, поскольку многие часто используемые методы создания паролей охватываются доступными списками в сочетании с созданием шаблонов программного обеспечения для взлома. Более безопасный подход - произвольно сгенерировать длинный пароль (15 букв и более) или парольную фразу из нескольких слов, используя программу диспетчер паролей или вручную.
Можно достичь компромисса между пространством и временем, предварительно вычислив список хеши слов из словаря и сохранение их в базе данных с использованием хеша в качестве ключа. Это требует значительного времени на подготовку, но позволяет быстрее выполнить настоящую атаку. Требования к хранилищу для предварительно вычисленных таблиц когда-то были основной статьей расходов, но теперь они представляют меньшую проблему из-за низкой стоимости дискового хранилища. Атаки по заранее вычисленному словарю особенно эффективны, когда требуется взломать большое количество паролей. Предварительно вычисленный словарь необходимо сгенерировать только один раз, и когда он будет завершен, хэши паролей можно будет найти почти мгновенно в любое время, чтобы найти соответствующий пароль. Более совершенный подход предполагает использование радужных таблиц, которые снижают требования к хранилищу за счет немного большего времени поиска. См. LM-хэш для примера системы аутентификации, скомпрометированной такой атакой.
Атаки по заранее вычисленному словарю, или «атаки с радужной таблицей», могут быть предотвращены с помощью salt, метода, который заставляет повторно вычислять хэш-словарь для каждого искомого пароля, делая предварительное вычисление невозможно при условии, что количество возможных значений соли достаточно велико.
