Home-theater-designers
Ang proteksyon ng password ay isang mahusay na diskarte sa pagkontrol sa pag-access na ginagamit nating lahat sa araw-araw. Ito ay malamang na mananatiling isang mahalagang haligi ng cybersecurity para sa mga darating na taon.
Ang mga cybercriminal, sa kabilang banda, ay gumagamit ng iba't ibang paraan upang i-crack ang mga password at makakuha ng hindi awtorisadong pag-access. Kabilang dito ang mga pag-atake ng rainbow table. Ngunit ano ang mga pag-atake ng rainbow table at gaano ito mapanganib? Higit sa lahat, ano ang maaari mong gawin upang maprotektahan ang iyong sarili laban sa kanila?
Paano Iniimbak ang Mga Password?
Walang platform o application na sineseryoso ang seguridad na nag-iimbak ng mga password sa plain text. Nangangahulugan ito na kung ang iyong password ay 'password123' (at talagang hindi ito dapat, para sa malinaw na mga kadahilanan), hindi ito iimbak nang ganoon, ngunit sa halip bilang isang kumbinasyon ng mga titik at numero.
Ang prosesong ito ng pag-convert ng plain text sa isang tila random na kumbinasyon ng mga character ay tinatawag na password hashing. At ang mga password ay na-hash sa tulong ng mga algorithm, mga automated na program na gumagamit ng mga mathematical formula para i-randomize at itago ang plain text. Ang ilan sa mga kilalang hashing algorithm ay ang: MD5, SHA, Whirlpool, BCrypt, at PBKDF2.
Kaya, kung kukuha ka ng password na 'password123' at patakbuhin ito sa pamamagitan ng Algoritmo ng MD5 , ito ang makukuha mo: 482c811da5d5b4bc6d497ffa98491e38. Ang string ng mga character na ito ay ang naka-hash na bersyon ng 'password123,' at ang format kung saan iimbak ang iyong password online.
Kaya sabihin nating nagla-log in ka sa iyong email account. I-type mo ang iyong username o email address, at pagkatapos ay ang password. Awtomatikong kino-convert ng email provider ang plain text na inilagay mo sa hashed value nito, at inihahambing ito sa hash value na una nitong naimbak noong una mong i-set up ang iyong password. Kung tumugma ang mga halaga, napatotohanan ka at magkakaroon ng access sa iyong account.
Paano magbubukas ang isang karaniwang pag-atake ng rainbow table, kung gayon? Kailangan munang kumuha ng mga hash ng password ang aktor ng banta. Para magawa ito, magsasagawa sila ng ilang uri ng cyberattack, o hahanap ng paraan para lampasan ang istruktura ng seguridad ng isang organisasyon. O bibili sila ng isang tambakan ng basura ninakaw na mga hash sa dark web .
Paano Gumagana ang Rainbow Table Attacks
Ang susunod na hakbang ay ang pag-convert ng mga hash sa plain text. Malinaw, sa isang rainbow table attack, gagawin ito ng attacker gamit ang rainbow table.
Ang mga Rainbow table ay naimbento ng IT expert na si Philippe Oechslin, na ang trabaho ay batay sa pananaliksik ng cryptologist at mathematician na si Martin Hellman. Pinangalanan pagkatapos ng mga kulay na kumakatawan sa iba't ibang mga function sa loob ng isang talahanayan, binabawasan ng mga rainbow table ang oras na kailangan upang i-convert ang isang hash sa plain text, kaya nagbibigay-daan ang cybercriminal na isagawa ang pag-atake nang mas mahusay.
Sa isang ordinaryo brute force attack , halimbawa, kailangang i-decode ng threat actor ang bawat hash na password nang hiwalay, kalkulahin ang libu-libong kumbinasyon ng salita, at pagkatapos ay ihambing ang mga ito. Gumagana pa rin ang trial-and-error na paraan na ito at malamang na gagana, ngunit nangangailangan ng maraming oras at napakalaking kapangyarihan sa pag-compute. Ngunit sa isang rainbow table attack, ang isang attacker ay kakailanganin lamang na magpatakbo ng nakuhang password hash sa pamamagitan ng isang database ng mga hash, pagkatapos ay paulit-ulit na hatiin at bawasan ito, hanggang sa maipakita ang plain text.
Ito, sa maikling salita, ay kung paano gumagana ang pag-atake ng rainbow table. Pagkatapos mag-crack ng password, ang isang threat actor ay may hindi mabilang na mga opsyon kung paano magpapatuloy. Maaari nilang i-target ang kanilang biktima sa anumang bilang ng mga paraan, pagkakaroon ng hindi awtorisadong pag-access sa lahat ng uri ng sensitibong data, kabilang ang impormasyong nauugnay sa online baking, at iba pa.
Paano Magpoprotekta laban sa Rainbow Table Attacks
Ang mga pag-atake ng Rainbow table ay hindi karaniwan tulad ng dati, ngunit nagdudulot pa rin sila ng malaking banta sa mga organisasyon sa lahat ng laki, at gayundin sa mga indibidwal. Sa kabutihang palad, may mga paraan upang maprotektahan laban sa kanila. Narito ang limang bagay na maaari mong gawin upang maiwasan ang pag-atake ng rainbow table.
1. Mag-set Up ng Mga Kumplikadong Password
Ang paggamit ng mahaba, kumplikadong mga password ay isang ganap na kinakailangan. Ang isang magandang password ay dapat na natatangi, at may kasamang maliliit at malalaking titik, numero, at mga espesyal na character. Karamihan sa mga platform at app sa mga araw na ito ay nangangailangan ng mga user na gawin iyon, kaya siguraduhin mo lumikha ng hindi mababasag password na hindi mo malilimutan.
2. Gumamit ng Multi-Factor Authentication
Ang multi-factor authentication (MFA) ay isang simple ngunit malakas na mekanismo ng seguridad na ginagawang walang kabuluhan ang karamihan sa mga pag-atake ng password. Sa pag-set up ng MFA, hindi mo maa-access ang isang account gamit lang ang iyong username at password. Sa halip, kailangan mong magbigay ng karagdagang patunay ng iyong pagkakakilanlan. Ito ay maaaring mula sa pagkumpirma ng iyong numero ng telepono at paglalagay ng pansamantalang PIN, hanggang sa pag-verify ng iyong fingerprint at pagsagot sa isang personal na tanong sa seguridad.
3. Pag-iba-ibahin ang Iyong Mga Password
Kung gagamitin mo ang parehong password sa lahat ng dako, sapat na ang isang paglabag upang makompromiso ang lahat ng iyong account, gaano man kahusay ang password na iyon. Ito ang dahilan kung bakit mahalagang gumamit ng ibang password para sa bawat account. Kung ang pagpunta sa walang password ay isang opsyon , isaalang-alang din iyan: kung hindi ka gumagamit ng password, hindi ka maaaring maging biktima ng rainbow table attack, o anumang iba pang pag-atake na nakabatay sa password para sa bagay na iyon.
kung paano alisin ang account mula sa ps4
4. Iwasan ang Mahinang Hashing Algorithm
Ang ilang mga algorithm ng hashing, tulad ng MD5, ay mahina, na ginagawang madaling target ang mga ito. Dapat manatili ang mga organisasyon sa mga makabagong algorithm tulad ng SHA-256, na napaka-secure na ginagamit ito ng mga ahensya ng gobyerno sa United States, Australia, at saanman. Bilang isang ordinaryong tao, dapat mong subukan at iwasan ang mga platform at app na gumagamit ng hindi napapanahong teknolohiya.
5. Gamitin ang Password Salting
Ang pag-hash ng password ay isang mahusay at kinakailangang hakbang sa seguridad, ngunit paano kung ikaw at ang ibang tao ay gumagamit ng parehong password? Magiging magkapareho rin ang kanilang mga na-hash na bersyon. Dito pumapasok ang isang prosesong tinatawag na salting. Ang pag-aasin ng password ay mahalagang bumulusok sa pagdaragdag ng mga random na character sa bawat na-hash na password, kaya ginagawa itong ganap na kakaiba. Nalalapat din ang tip na ito sa mga organisasyon at indibidwal.
Unawain ang Password Security para Manatiling Ligtas
Ang seguridad ng password bilang ganoon ay susi pagdating sa pagpigil sa hindi awtorisadong pag-access at iba't ibang uri ng cyberattacks. Ngunit ito ay nagsasangkot ng higit pa sa pagbuo ng isang natatangi, madaling tandaan na parirala.
Upang palakasin ang iyong pangkalahatang cybersecurity, kailangan mong maunawaan kung paano talaga gumagana ang proteksyon ng password, at pagkatapos ay gumawa ng mga hakbang upang ma-secure ang iyong mga account. Ito ay maaaring medyo napakalaki para sa ilan, ngunit ang paggamit ng maaasahang mga pamamaraan ng pagpapatunay at isang tagapamahala ng password ay maaaring gumawa ng isang malaking pagkakaiba.