โปรแกรมสำหรับถอดรหัสเงาไฟล์ linux

คำตอบ:

29

รหัสผ่านบนระบบ linux ไม่ได้เข้ารหัสพวกเขาจะถูกแฮชซึ่งแตกต่างกันมาก

ไม่สามารถย้อนกลับฟังก์ชันแฮชตามนิยามได้ สำหรับข้อมูลเพิ่มเติมโปรดดูที่แฮรายการวิกิพีเดีย

ฟังก์ชันแฮชที่ใช้ขึ้นอยู่กับการกำหนดค่าระบบของคุณ MD5และปักเป้าเป็นตัวอย่างทั่วไปของฟังก์ชั่นแฮชที่ใช้แล้ว

ดังนั้นรหัสผ่าน "ของจริง" ของผู้ใช้จึงไม่เคยถูกเก็บไว้ในระบบ

หากคุณเข้าสู่ระบบสตริงที่คุณป้อนเป็นรหัสผ่านจะถูกแฮชและตรวจสอบกับไฟล์ / etc / shadow ของคุณ หากตรงกันคุณจะต้องป้อนรหัสผ่านที่ถูกต้อง

อย่างไรก็ตามยังมีบางเวกเตอร์การโจมตีต่อต้านแฮรหัสผ่าน คุณสามารถเก็บพจนานุกรมรหัสผ่านยอดนิยมและลองใช้โดยอัตโนมัติ มีพจนานุกรมจำนวนมากในอินเทอร์เน็ต อีกวิธีหนึ่งคือลองใช้ชุดอักขระที่เป็นไปได้ทั้งหมดซึ่งจะใช้เวลานานมาก เรื่องนี้เป็นที่รู้จักกันในชื่อการโจมตีที่ดุร้าย

Rainbowtablesเป็นอีกหนึ่งเวกเตอร์จู่โจมที่ดีต่อการแฮช แนวคิดเบื้องหลังแนวคิดนี้คือการคำนวณแฮชที่เป็นไปได้ทั้งหมดก่อนแล้วจึงค้นหาแฮชในตารางเพื่อค้นหารหัสผ่านที่เกี่ยวข้อง มีโครงการคำนวณจำนวนมากเพื่อสร้างตารางดังกล่าวขนาดแตกต่างกันไปตามตัวอักษรที่ใช้และส่วนใหญ่จะเป็นวัณโรคหลายตัว

เพื่อลดความเสี่ยงของตารางการค้นหาเช่นการปฏิบัติทั่วไปและพฤติกรรมเริ่มต้นใน Unix / Linux เพื่อเพิ่ม " เกลือ " ที่เรียกว่าการแฮชรหัสผ่าน คุณแฮรหัสผ่านของคุณเพิ่มค่าเกลือแบบสุ่มเพื่อแฮชและแฮสตริงใหม่นี้อีกครั้ง คุณต้องบันทึกแฮชใหม่และเกลือเพื่อให้สามารถตรวจสอบว่าค่าที่ป้อนเป็นรหัสผ่านที่ถูกต้อง ข้อได้เปรียบอย่างมากของวิธีนี้คือคุณจะต้องสร้างตารางการค้นหาใหม่สำหรับแต่ละเกลือที่ไม่ซ้ำกัน

เครื่องมือยอดนิยมในการรันพจนานุกรมหรือการโจมตีด้วยรหัสผ่านผู้ใช้ของระบบปฏิบัติการที่แตกต่างกันคือJohn The Ripper (หรือ JTR) ดูหน้าแรกของโครงการสำหรับรายละเอียดเพิ่มเติม:

John the Ripper เป็นแคร็กเกอร์รหัสผ่านที่รวดเร็วซึ่งปัจจุบันมีให้สำหรับ Unix, Windows, DOS, BeOS และ OpenVMS หลากหลายรสชาติ วัตถุประสงค์หลักคือเพื่อตรวจหารหัสผ่าน Unix ที่อ่อนแอ

echox
แหล่งที่มา
มีแบบฝึกหัดแอนิเมชันสำหรับอธิบายเกี่ยวกับสิ่งเหล่านั้นหรือไม่?
Kumar
3
สิ่งใด ฉันไม่รู้อะไรเลย แต่ IMHO แหล่งข้อมูลที่เชื่อมโยงอธิบายหัวข้อที่ชัดเจนและฉันแน่ใจว่าคุณจะพบข้อมูลมากขึ้นถ้าคุณใช้ความพยายามเล็กน้อยในการค้นหา / อ่าน
echox
1
ฉันคิดว่าพวกเขากำลังขอบทช่วยสอน youtube เพราะความเข้าใจในการอ่านเป็นทักษะที่พูดเกินจริงในทุกวันนี้
Shadur
1

มันเป็นไปไม่ได้จริงที่จะถอดรหัส paswords เหล่านั้นเนื่องจากมันเป็นการเข้ารหัสแบบทางเดียว

เบอร์ทรานด์มาร์รอน
แหล่งที่มา
คุณช่วยกรุณาบอกเกี่ยวกับการเข้ารหัสแบบทางเดียวได้ไหม
Kumar
3
การเข้ารหัสทางเดียวหมายความว่าคุณไม่ได้เก็บรหัสผ่าน แต่เป็นเพียงค่าแฮช และคุณสมบัติพิเศษของแฮชคือคุณไม่สามารถสร้างรหัสผ่านใหม่ได้ คิดว่ามันชอบเพียงเก็บจำนวนเช่นจำนวนตัวอักษร หากฉันเก็บ "5" ฉันสามารถตรวจสอบได้อย่างรวดเร็วว่าคำว่า "Kumar" เป็นรหัสผ่านหรือไม่ แต่จาก "5" ฉันไม่สามารถคำนวณกลับเป็น "Kumar" ได้ (ตัวอย่างง่าย ๆ แฮชมีความซับซ้อนมากขึ้นและการชนมีความซับซ้อนน้อยกว่า (หากไม่ได้หายาก) ด้วยอัลกอริทึมการแฮชที่ทันสมัย)
tante
1

คุณสามารถถอดรหัสไฟล์เงาโดยใช้กำลังดุร้าย: มันรวมแฮชของรหัสผ่านดังนั้นโอกาสเดียวของคุณคือการเดารหัสผ่านคำนวณแฮชและดูว่าแฮชเหมือนกันหรือไม่ ดูวิกิพีเดียสำหรับรายละเอียดเกี่ยวกับการสร้างแฮช

fschmitt
แหล่งที่มา
1

อย่างที่คนอื่นพูดคุณจะไม่สามารถถอดรหัสไฟล์เงาได้

สิ่งเดียวที่คุณสามารถลองคือแรงเดรัจฉานเดารหัสผ่านโดยใช้เครื่องมือเช่นจอห์นเดอะริปเปอร์ สิ่งนี้อาจหรืออาจไม่สำเร็จและจะใช้เวลานานแน่นอน

Kristof Provost
แหล่งที่มา
1

รหัสผ่านจะถูกเข้ารหัสโดยใช้อัลกอริทึมที่จะใช้รหัสผ่านและสร้างแฮชที่ไม่ซ้ำกับรหัสผ่านนั้น แฮชนี้ถูกเก็บไว้ในไฟล์ / etc / shadow ไม่สามารถกู้คืนรหัสผ่านจากแฮชได้ วิธีการกู้คืนรหัสผ่านเพียงอย่างเดียวคือการบังคับให้คีย์สเปซทั้งหมดหรือใช้การโจมตีพจนานุกรมบางประเภท ฟังก์ชันแฮชก่อนหน้าใช้มาตรฐาน DES การเพิ่มขึ้นของพลังการประมวลผลทำให้สามารถบังคับเดสก์ท็อป DES ในเวลาอันสมควร ฟังก์ชันแฮชที่ทันสมัยที่ใช้ในการเข้ารหัสรหัสผ่านรวมถึง MD5, SHA และอื่น ๆ สามารถดูข้อมูลเพิ่มเติมเกี่ยวกับ crypt (3) ไลบรารี่ได้ที่นี่

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.