Attaque du dictionnaire – Wikipedia
Comme un Dictionnaire (Engl. attaque de dictionnaire , Français attaque par dictionnaire ) Pour être identifié la méthode d’analyse cryptographique, un mot de passe (ou nom d’utilisateur) inconnu à l’aide d’une liste de mots de passe (souvent aussi appelée WordList ou Dictionary).
Cette méthode est utilisée si vous pouvez supposer que le mot de passe se compose d’une combinaison de caractères sensible. L’expérience a montré que c’est généralement le cas. Cette procédure n’est prometteuse que si autant de mots de passe possible peuvent être essayés rapidement successivement.
Une distinction est faite entre les objets d’attaque actifs et passifs:
Un objet d’attaque actif est une instance qui vérifie la précision du mot de passe et donne ou refuse l’accès. C’est le cas, par exemple, lors de la connexion sur un site Web. Dans le cas des objets d’attaque actifs, les possibilités de l’attaque du dictionnaire sont gravement limitées, car après un certain nombre de tentatives infructueuses, toutes les autres tentatives sont empêchées (similaires à la broche de l’ATM, qui peut être saisie un maximum de trois fois). De plus, l’attaquant laisse des traces dans les fichiers de protocole du serveur.
Un objet d’attaque passif est un texte chiffré. Ici, le mot de passe n’est pas vérifié par une instance. En raison du processus de chiffrement utilisé, le mot de passe correct mène directement au déchiffrement du texte. L’attaquant peut essayer beaucoup plus de mots de passe ici dans un temps plus court. La vitesse dépend du logiciel et du matériel utilisés par l’attaquant ainsi que de l’algorithme de chiffrement utilisé. Même sur des ordinateurs domestiques bien équipés, plusieurs centaines de millions d’opérations arithmétiques peuvent être effectuées par seconde. [d’abord] Le supercalculateur le plus rapide crée même 33,862 milliards d’opérations informatiques par seconde (en novembre 2013). [2]
Le vocabulaire actif d’une langue est généralement de 50 000 mots. Ainsi, des dizaines de langues peuvent être vérifiées en quelques secondes. Un mot de passe qui se compose d’un ou deux mots est donc très incertain lors du chiffrement des textes.
Un programme spécial teste les entrées de la liste des mots de passe en tant que nom d’utilisateur ou mot de passe. Il est également possible d’utiliser deux listes distinctes pour le nom d’utilisateur et le mot de passe. Cependant, l’utilisation d’une “liste combo”, une liste combinée de nom d’utilisateur et de mot de passe dans le format “nom d’utilisateur: mot de passe” est beaucoup plus courante. Les programmes répandus pour les tests automatiques des mots de passe sont John The Ripper et Cain & Abel.
Les mots de passe typiques (en particulier les noms ou les dates de naissance) en particulier sont faciles à trouver avec cette méthode. La durée de l’exécution, qui est généralement plus faible en raison du nombre plus faible de mots de passe à tester que, par exemple, que la méthode de force brute parle pour l’utilisation de cette méthode.
Avec cette méthode, un attaquant dépend d’une bonne liste de mots de passe. Étant donné que même la meilleure liste ne contient pas tous les mots de passe possibles, cette méthode ne peut pas être utilisée pour trouver chaque mot de passe. Les chances de trouver des mots de passe composés de séries insensés sont particulièrement faibles.
La seule défense de l’utilisateur contre une attaque de dictionnaire n’est pas d’utiliser des mots de passe facilement supposables. Une méthode de création de mots de passe avec une entropie garantie est les dic logiciels.
Pour atténuer les effets d’une attaque, un utilisateur doit utiliser son propre mot de passe pour chaque compte d’utilisateur.
En conséquence, un mot de passe d’une page “fissurée” ne peut pas être utilisé dans d’autres.
Le fournisseur doit essayer de ralentir l’attaquant afin qu’il prenne le plus longtemps possible pour essayer de nombreux mots de passe. En règle générale, une file d’attente est installée en cas d’objets d’attaque actifs après avoir saisi un mauvais mot de passe. Ici, cependant, le programmeur doit s’assurer que l’attaquant ne peut pas recevoir plusieurs tentatives d’enregistrement en parallèle ou l’accès à des objets d’attaque passifs équivalents. Pour les objets d’attaque passifs, d. H. Si l’attaquant a téléchargé les données de l’objectif d’attaque à son propre matériel, un retard comparable est difficile à atteindre. Une variante sensible est une extension de la longueur de mot de passe nécessaire.
Les mots de passe des utilisateurs ne doivent pas être enregistrés en texte brut. En règle générale, seul le hachage du mot de passe est enregistré. Si un attaquant parvient à entrer en possession de ce dossier, il ne peut rien faire avec les hashs qui y sont stockés. Il doit appliquer la procédure décrite ci-dessus sous des “objets d’attaque passifs” en ayant les entrées d’un dictionnaire individuellement et en comparant le résultat avec le hachage du mot de passe. Afin qu’aucune liste terminée avec une valeur de hachage → le mot d’origine (par exemple sous la forme de tables arc-en-ciel, So-Salled), peut être utilisée, le mot de passe avant que le hachage ne soit généralement élargi d’une valeur aléatoire, le Salar So-appelé. La valeur aléatoire est stockée à côté du hachage. De plus, le calcul de la valeur de hachage peut être retardé, par exemple, en utilisant une procédure itérative avec plusieurs hachats afin que cela ne se traduit pas par une perte de temps significative pour l’utilisateur si le mot de passe (correct) est entré une fois, mais qu’une attaque de dictionnaire devient considérablement complexe. À cette fin, il existe des fonctions de hachage de mot de passe spéciales telles que Argon2.
- ↑ Orange.co.jp
- ↑ TOP500 des Supercomputers, novembre 2013 ( Mémento des Originaux à partir du 31 décembre 2013 dans Archives Internet ) Info: Le lien d’archive a été utilisé automatiquement et non encore vérifié. Veuillez vérifier le lien d’origine et d’archiver en fonction des instructions, puis supprimez cette note.
Recent Comments