HEKLANJE

Pozadina razbijanja lozinki

Lozinke za pristup računalnim sustavima obično su pohranjene, u nekom obliku, u bazi podataka kako bi sustav mogao izvršiti provjeru lozinke. Kako bi se povećala privatnost lozinki, pohranjeni podaci za provjeru lozinke općenito se proizvode primjenom jednosmjerne funkcije na lozinku, po mogućnosti u kombinaciji s drugim dostupnim podacima. Radi jednostavnosti ove rasprave, kada jednosmjerna funkcija ne uključuje tajni ključ, osim lozinke, jednosmjernu funkciju nazivamo raspršivanjem, a njen izlaz raspršenom lozinkom. Iako funkcije koje stvaraju raspršene lozinke mogu biti kriptografski sigurne, posjedovanje raspršene lozinke pruža brz način provjere pogađanja zaporke primjenom funkcije na svako pogađanje i usporedbom rezultata s podacima za provjeru. Najčešće korištene funkcije raspršivanja mogu se brzo izračunati i napadač to može činiti opetovano s različitim pogađanjima dok se ne pronađe valjano podudaranje, što znači da je obična lozinka vraćena.

Izraz krekiranje lozinki obično je ograničen na oporavak jedne ili više lozinki otvorenog teksta iz raspršenih lozinki. Probijanje lozinke zahtijeva da napadač može dobiti pristup raspršenoj zaporci, bilo čitanjem baze podataka za provjeru zaporke ili presretanjem raspršene zaporke poslane preko otvorene mreže, ili ima neki drugi način da brzo i bez ograničenja testira je li pogodjena zaporka točna. Bez raspršene lozinke, napadač još uvijek može pokušati pristupiti dotičnom računalnom sustavu s pogođenim lozinkama. Međutim, dobro dizajnirani sustavi ograničavaju broj neuspjelih pokušaja pristupa i mogu upozoriti administratore da uđu u trag izvoru napada ako je ta kvota premašena. S hashiranom lozinkom, napadač može raditi neotkriven, a ako je napadač dobio nekoliko hashiranih lozinki, šanse za probijanje barem jedne su prilično velike. Postoje i mnogi drugi načini nezakonitog dobivanja lozinki, kao što je društveni inženjering, prisluškivanje, bilježenje pritiska tipke, krivotvorenje prijave, ronjenje u kontejneru, vremenski napad, itd. Međutim, krekiranje obično označava napad pogađanjem.



Krekiranje se može kombinirati s drugim tehnikama. Na primjer, korištenje metode provjere autentičnosti izazov-odgovor temeljene na hash-u za provjeru lozinke može dati hashiranu lozinku prisluškivaču, koji zatim može probiti lozinku. Postoji niz jačih kriptografskih protokola koji ne izlažu raspršene lozinke tijekom provjere preko mreže, bilo tako što ih štite u prijenosu pomoću visokokvalitetnog ključa ili korištenjem dokaza lozinke bez znanja.