Sanakirja hyökkäys on menetelmä, jota käytetään kryptoanalyysikonsultti ja löytää salasana tai avain . Se koostuu useiden mahdollisten salasanojen testaamisesta peräkkäin toivoen, että salauksessa käytetty salasana sisältyy sanakirjaan. Jos ei, hyökkäys epäonnistuu.
Tämä menetelmä perustuu siihen, että monet ihmiset käyttävät yleisiä salasanoja (esimerkiksi: etunimi, väri tai eläimen nimi). Tästä syystä on aina suositeltavaa olla käyttämättä sanaa tai nimeä sisältävää salasanaa (katso Salasana tietääksesi tavalliset varotoimet salasanaa valittaessa).
Sanakirjahyökkäys on menetelmä, jota käytetään usein raa'an voimahyökkäyksen lisäksi, joka koostuu salasanojen erilaisten mahdollisuuksien tyhjentävästä testaamisesta. Viimeksi mainittu on erityisen tehokas salasanoissa, jotka eivät ylitä 5 tai 6 merkkiä.
Sanasarjan sisältävän sanakirjan tavallisen sisällön lisäksi sanakirjaa voidaan tehostaa yhdistämällä sanoja tai soveltamalla niihin tiettyjä sääntöjä, jotka vastaavat nykyisiä salasananvalintatottumuksia. Mainitsen muutamia yleisiä esimerkkejä, jokaista sanaa, voimme yrittää muuttaa kyseessä tiettyjen kirjeiden tai korvata heitä leet puhua vastineet . Toinen temppu on toistaa sana kahdesti (esim. "Secretsecret"). Voit myös luoda sanakirjoja, jotka vastaavat kaikkia rekisterikilven numeroita, sosiaaliturvatunnuksia, syntymäaikoja jne. Tällaisten sanakirjojen avulla on melko helppoa murtaa käyttäjien salasanat, jotka käyttävät näitä epävarmoja menetelmiä salasanojensa vahvistamiseen.
John Ripper -ohjelmisto , tunnetuin tällä alalla, sisältää luettelon säännöistä, joiden avulla voit laajentaa hakutilaa ja tutkia klassisia porsaanreikiä käyttäjien salasanojen tai avainten luomisessa. On sanakirjoja, jotka sisältävät useita miljoonia sanoja, jotka eivät sisälly ohjelmistoon. Voimme mainita myös L0phtcrackin ja Cain & Abelin, jotka tarjoavat vastaavia palveluja.
Tämän tyyppistä ohjelmistoa ei kuitenkaan välttämättä käytetä haitallisiin tarkoituksiin. Nämä työkalut voivat olla hyödyllisiä järjestelmänvalvojille, jotka haluavat suojata salasanat ja varoittaa käyttäjiä riskeistä.
Raa'at voimahyökkäykset on mahdollista havaita rajoittamalla kahden todennusyrityksen välistä aikaa, mikä lisää huomattavasti salauksen purkuaikaa. Toinen mahdollisuus on sirukorttijärjestelmä (esim. Pankkikortti) tai SIM-kortit, jotka estävät järjestelmän 3 epäonnistuneen yrityksen jälkeen, mikä tekee raakavoimien hyökkäyksistä mahdottomia.
Sovelluksissa salasanat tallennetaan usein hashina , josta salasanan sisällön löytäminen on erittäin vaikeaa. Jotkut hyökkäyksiin käytetyt sanakirjat sisältävät tavallisimpien salasanojen allekirjoitusten tuloksen. Hyökkääjä, jolla on pääsy salasanan hajautustuloksiin, voi siis arvata alkuperäisen salasanan. Tässä tapauksessa voimme käyttää salasanan "suolaa". Toisin sanoen lopullisen sekvenssin muokkaamiseen käytettyjen bittisekvenssien lisääminen. Otetaan esimerkiksi salasanaa "Wikipedia", jota käytetään algoritmia SHA-1 tuote: 664add438097fbd4307f814de8e62a10f8905588. Käytetään salasanasuolaa lisäämällä siihen "suolattu". Hajauttamalla "Wikipediasalé" hash on nyt:, 1368819407812ca9ceb61fb07bf293193416159fmikä tekee kaikista "base" -sanastoista hyödyttömiä.
Hyvä käytäntö ei ole käyttää ainutlaatuista suolausavainta, vaan luoda se satunnaisesti jokaiselle tietueelle. Vaikka suolausavain olisi luettavissa, jokaisen salasanan on luotava täydellinen suolainen sanakirja. Voit myös integroida dynaamisen osan ja integroidun osan sovelluksen lähdekoodiin maksimaalisen turvallisuuden takaamiseksi. Unixin kaltaisen käyttöjärjestelmän järjestelmiä käyttävät järjestelmää suolaa hajauttamat salasanoja.