डिक्शनरी अटैक: Difference between revisions
(Created page with "{{short description|Technique for defeating password protection using lists of likely possibilities}} {{More citations needed|date=February 2018}} क्रिप्ट व...") |
No edit summary |
||
(7 intermediate revisions by 4 users not shown) | |||
Line 1: | Line 1: | ||
{{short description|Technique for defeating password protection using lists of likely possibilities}} | {{short description|Technique for defeating password protection using lists of likely possibilities}}[[क्रिप्ट विश्लेषण]] और [[कंप्यूटर सुरक्षा]] में, डिक्रिप्शन कुंजी या [[पदबंध]] को निर्धारित करने की प्रयास करके, कभी-कभी हजारों या लाखों संभावित संभावनाओं का प्रयास करके डिक्शनरी अटैक [[ सिफ़र |सिफ़र]] या [[प्रमाणीकरण प्रोटोकॉल]] तंत्र को हराने के लिए कीस्पेस के प्रतिबंधित उपसमुच्चय का उपयोग करके अटैक होता है।<ref>{{Cite journal|last1=Junghyun Nam|last2=Juryon Paik|last3=Hyun-kyu Kang|last4=Ung Kim|last5=Dongho Won|date=2009-03-01|title=एक सरल तीन-पक्ष कुंजी विनिमय प्रोटोकॉल पर एक ऑफ-लाइन शब्दकोश हमला|url=https://ieeexplore.ieee.org/document/4799025|journal=IEEE Communications Letters|volume=13|issue=3|pages=205–207|doi=10.1109/LCOMM.2009.081609|issn=1089-7798}}</ref> अधिकांशतः पिछले सुरक्षा उल्लंघनों की सूची से प्राप्त किया जाता है।<ref>{{Cite web|title=Oxford Languages and Google - English {{!}} Oxford Languages|url=https://languages.oup.com/google-dictionary-en/|access-date=2021-01-02|website=languages.oup.com|language=en-GB}}</ref> | ||
{{ | |||
== तकनीक == | == तकनीक == | ||
डिक्शनरी अटैक पूर्व-व्यवस्थित लिस्टिंग में सभी स्ट्रिंग्स को आजमाने पर आधारित है। इस तरह के | डिक्शनरी अटैक पूर्व-व्यवस्थित लिस्टिंग में सभी स्ट्रिंग्स को आजमाने पर आधारित है। इस तरह के अटैक मूल रूप से शब्दकोश में पाए जाने वाले शब्दों का प्रयोग करते थे (इसलिए वाक्यांश शब्दकोश अटैक);<ref> | ||
Jeff Atwood. | Jeff Atwood. | ||
[https://blog.codinghorror.com/dictionary-attacks-101/ "Dictionary Attacks 101"]. | [https://blog.codinghorror.com/dictionary-attacks-101/ "Dictionary Attacks 101"]. | ||
</ref> | </ref> चुकीं, अब खुले इंटरनेट पर बहुत बड़ी सूचियाँ उपलब्ध हैं जिनमें पिछले डेटा उल्लंघनों से सैकड़ों लाखो पासवर्ड प्राप्त किए गए हैं।<ref>[https://crackstation.net/crackstation-wordlist-password-cracking-dictionary.htm CrackStation's list]. e.g., with over 1.4 billion words.</ref> ऐसे क्रैकिंग सॉफ़्टवेयर भी हैं जो ऐसी सूचियों का उपयोग कर सकते हैं और सामान्य विविधताएँ उत्पन्न कर सकते हैं, जैसे कि लीट समान दिखने वाले अक्षरों के लिए संख्याओं को प्रतिस्थापित करना। डिक्शनरी अटैक केवल उन्हीं संभावनाओं को प्रयोग करता है जिनके सफल होने की सबसे अधिक संभावना होती है। शब्दकोश अटैक अधिकांशतः सफल होते हैं क्योंकि बहुत से लोगों में छोटे पासवर्ड चुनने की प्रवृत्ति होती है जो सामान्य शब्द या सामान्य पासवर्ड होते हैं; या वेरिएंट प्राप्त किया गया है, उदाहरण के लिए, अंक या विराम चिह्न जोड़कर डिक्शनरी अटैक अधिकांशतः सफल होते हैं, क्योंकि सामान्यतः उपयोग की जाने वाली कई पासवर्ड निर्माण तकनीकें उपलब्ध सूचियों द्वारा कवर की जाती हैं, जो क्रैकिंग सॉफ़्टवेयर पैटर्न जनरेशन के साथ संयुक्त होती हैं। [[ पासवर्ड प्रबंधक |पासवर्ड प्रबंधक]] प्रोग्राम का उपयोग करके या मैन्युअल रूप से पासवर्ड टाइप करके यादृच्छिक ढंग से लंबा पासवर्ड (15 अक्षर या अधिक) या मल्टीवर्ड पासफ़्रेज़ उत्पन्न करना सुरक्षित विधि है। | ||
== प्री-कंप्यूटेड डिक्शनरी अटैक/रेनबो टेबल अटैक == | == प्री-कंप्यूटेड डिक्शनरी अटैक/रेनबो टेबल अटैक == | ||
डिक्शनरी शब्दों के [[क्रिप्टोग्राफ़िक हैश फ़ंक्शन]] की | डिक्शनरी शब्दों के [[क्रिप्टोग्राफ़िक हैश फ़ंक्शन|क्रिप्टोग्राफ़िक हैश फलन]] की सूची को [[पूर्व कंप्यूटिंग]] करके और हैश को अद्वितीय कुंजी के रूप में उपयोग करके डेटाबेस में संग्रहीत करके समय-स्थान ट्रेडऑफ़ प्राप्त करना संभव है। इसके लिए तैयारी के बहुत समय की आवश्यकता होती है, लेकिन इससे वास्तविक अटैक को तेजी से अंजाम दिया जा सकता है। पूर्व-गणना की गई तालिकाओं के लिए भंडारण आवश्यकताएं एक बार बड़ा निवेश था, लेकिन [[डिस्क भंडारण]] के कम निवेश के कारण अब वे कम समस्या हैं। जब बड़ी संख्या में पासवर्ड को क्रैक करना हो तो प्री-कंप्यूटेड डिक्शनरी अटैक विशेष रूप से प्रभावी होते हैं। पूर्व-गणना शब्दकोश को केवल एक बार उत्पन्न करने की आवश्यकता होती है, और जब यह पूरा हो जाता है, तो संबंधित पासवर्ड खोजने के लिए किसी भी समय पासवर्ड हैश को लगभग तुरंत देखा जा सकता है। अधिक परिष्कृत दृष्टिकोण में [[इंद्रधनुष तालिका]]ओं का उपयोग सम्मिलित है, जो थोड़े लंबे लुकअप-समय की कीमत पर भंडारण आवश्यकताओं को कम करता है। इस तरह के अटैक से समझौता किए गए प्रमाणीकरण प्रोटोकॉल के उदाहरण के लिए [[एलएम हैश]] देखें। | ||
प्री-कंप्यूटेड डिक्शनरी अटैक, या रेनबो टेबल अटैक, [[ नमक (क्रिप्टोग्राफी) ]] के | प्री-कंप्यूटेड डिक्शनरी अटैक, या रेनबो टेबल अटैक, [[ नमक (क्रिप्टोग्राफी) |नमक (क्रिप्टोग्राफी)]] के प्रयोग से रोका जा सकता है, ऐसी तकनीक जो हैश डिक्शनरी को प्रत्येक पासवर्ड के लिए फिर से कंप्यूट करने के लिए मजबूर करती है, जिससे [[पूर्वगणना]] संभव हो जाता है, बशर्ते कि संभावित नमक मूल्यों की संख्या बहुत बड़ा है।<ref>{{Cite web|title=CAPEC - CAPEC-55: Rainbow Table Password Cracking (Version 3.5)|url=https://capec.mitre.org/data/definitions/55.html|access-date=2021-09-12|website=capec.mitre.org}}</ref> | ||
Line 20: | Line 19: | ||
* कैन एंड एबेल (सॉफ्टवेयर) | * कैन एंड एबेल (सॉफ्टवेयर) | ||
* [[क्रैक (पासवर्ड सॉफ्टवेयर)]] | * [[क्रैक (पासवर्ड सॉफ्टवेयर)]] | ||
* [[Aircrack- एनजी]] | * [[Aircrack- एनजी|एयरक्रैक- एनजी]] | ||
* [[जॉन द रिपर]] | * [[जॉन द रिपर]] | ||
*[[L0phtCrack]] | *[[L0phtCrack|L0pht क्रैक]] | ||
*[[मेटास्प्लोइट प्रोजेक्ट]] | *[[मेटास्प्लोइट प्रोजेक्ट]] | ||
*[[ओफक्रैक]] | *[[ओफक्रैक]] | ||
Line 28: | Line 27: | ||
== यह भी देखें == | == यह भी देखें == | ||
*[[पशुबल का आक्रमण]] | *[[पशुबल का आक्रमण|क्रूरबल का अटैक]] | ||
*ई-मेल एड्रेस हार्वेस्टिंग | *ई-मेल एड्रेस हार्वेस्टिंग | ||
*[[अंतरमहाद्वीपीय शब्दकोश श्रृंखला]] | *[[अंतरमहाद्वीपीय शब्दकोश श्रृंखला]] ऑनलाइन भाषाई डेटाबेस | ||
*[[कुंजी व्युत्पत्ति समारोह]] | *[[कुंजी व्युत्पत्ति समारोह|कुंजी व्युत्पत्ति फलन]] | ||
*[[चाबी खींचना]] | *[[चाबी खींचना]] | ||
* [[पासवर्ड क्रैकिंग]] | * [[पासवर्ड क्रैकिंग]] | ||
Line 45: | Line 44: | ||
*[https://www.washingtonpost.com/wp-dyn/articles/A6098-2005Mar28.html US Secret Service use a distributed dictionary attack on suspect's password protecting encryption keys] | *[https://www.washingtonpost.com/wp-dyn/articles/A6098-2005Mar28.html US Secret Service use a distributed dictionary attack on suspect's password protecting encryption keys] | ||
*[http://www.owasp.org/index.php/Testing_for_Brute_Force#Brute_force_Attacks Testing for Brute Force (OWASP-AT-004)] {{Webarchive|url=https://web.archive.org/web/20200114052332/https://www.owasp.org/index.php/Testing_for_Brute_Force#Brute_force_Attacks |date=2020-01-14 }} | *[http://www.owasp.org/index.php/Testing_for_Brute_Force#Brute_force_Attacks Testing for Brute Force (OWASP-AT-004)] {{Webarchive|url=https://web.archive.org/web/20200114052332/https://www.owasp.org/index.php/Testing_for_Brute_Force#Brute_force_Attacks |date=2020-01-14 }} | ||
[[Category:CS1 British English-language sources (en-gb)]] | |||
[[Category: | |||
[[Category:Created On 11/05/2023]] | [[Category:Created On 11/05/2023]] | ||
[[Category:Lua-based templates]] | |||
[[Category:Machine Translated Page]] | |||
[[Category:Pages with script errors]] | |||
[[Category:Templates Vigyan Ready]] | |||
[[Category:Templates that add a tracking category]] | |||
[[Category:Templates that generate short descriptions]] | |||
[[Category:Templates using TemplateData]] | |||
[[Category:Webarchive template wayback links]] | |||
[[Category:क्रिप्टोग्राफिक हमले]] |
Latest revision as of 16:36, 14 June 2023
क्रिप्ट विश्लेषण और कंप्यूटर सुरक्षा में, डिक्रिप्शन कुंजी या पदबंध को निर्धारित करने की प्रयास करके, कभी-कभी हजारों या लाखों संभावित संभावनाओं का प्रयास करके डिक्शनरी अटैक सिफ़र या प्रमाणीकरण प्रोटोकॉल तंत्र को हराने के लिए कीस्पेस के प्रतिबंधित उपसमुच्चय का उपयोग करके अटैक होता है।[1] अधिकांशतः पिछले सुरक्षा उल्लंघनों की सूची से प्राप्त किया जाता है।[2]
तकनीक
डिक्शनरी अटैक पूर्व-व्यवस्थित लिस्टिंग में सभी स्ट्रिंग्स को आजमाने पर आधारित है। इस तरह के अटैक मूल रूप से शब्दकोश में पाए जाने वाले शब्दों का प्रयोग करते थे (इसलिए वाक्यांश शब्दकोश अटैक);[3] चुकीं, अब खुले इंटरनेट पर बहुत बड़ी सूचियाँ उपलब्ध हैं जिनमें पिछले डेटा उल्लंघनों से सैकड़ों लाखो पासवर्ड प्राप्त किए गए हैं।[4] ऐसे क्रैकिंग सॉफ़्टवेयर भी हैं जो ऐसी सूचियों का उपयोग कर सकते हैं और सामान्य विविधताएँ उत्पन्न कर सकते हैं, जैसे कि लीट समान दिखने वाले अक्षरों के लिए संख्याओं को प्रतिस्थापित करना। डिक्शनरी अटैक केवल उन्हीं संभावनाओं को प्रयोग करता है जिनके सफल होने की सबसे अधिक संभावना होती है। शब्दकोश अटैक अधिकांशतः सफल होते हैं क्योंकि बहुत से लोगों में छोटे पासवर्ड चुनने की प्रवृत्ति होती है जो सामान्य शब्द या सामान्य पासवर्ड होते हैं; या वेरिएंट प्राप्त किया गया है, उदाहरण के लिए, अंक या विराम चिह्न जोड़कर डिक्शनरी अटैक अधिकांशतः सफल होते हैं, क्योंकि सामान्यतः उपयोग की जाने वाली कई पासवर्ड निर्माण तकनीकें उपलब्ध सूचियों द्वारा कवर की जाती हैं, जो क्रैकिंग सॉफ़्टवेयर पैटर्न जनरेशन के साथ संयुक्त होती हैं। पासवर्ड प्रबंधक प्रोग्राम का उपयोग करके या मैन्युअल रूप से पासवर्ड टाइप करके यादृच्छिक ढंग से लंबा पासवर्ड (15 अक्षर या अधिक) या मल्टीवर्ड पासफ़्रेज़ उत्पन्न करना सुरक्षित विधि है।
प्री-कंप्यूटेड डिक्शनरी अटैक/रेनबो टेबल अटैक
डिक्शनरी शब्दों के क्रिप्टोग्राफ़िक हैश फलन की सूची को पूर्व कंप्यूटिंग करके और हैश को अद्वितीय कुंजी के रूप में उपयोग करके डेटाबेस में संग्रहीत करके समय-स्थान ट्रेडऑफ़ प्राप्त करना संभव है। इसके लिए तैयारी के बहुत समय की आवश्यकता होती है, लेकिन इससे वास्तविक अटैक को तेजी से अंजाम दिया जा सकता है। पूर्व-गणना की गई तालिकाओं के लिए भंडारण आवश्यकताएं एक बार बड़ा निवेश था, लेकिन डिस्क भंडारण के कम निवेश के कारण अब वे कम समस्या हैं। जब बड़ी संख्या में पासवर्ड को क्रैक करना हो तो प्री-कंप्यूटेड डिक्शनरी अटैक विशेष रूप से प्रभावी होते हैं। पूर्व-गणना शब्दकोश को केवल एक बार उत्पन्न करने की आवश्यकता होती है, और जब यह पूरा हो जाता है, तो संबंधित पासवर्ड खोजने के लिए किसी भी समय पासवर्ड हैश को लगभग तुरंत देखा जा सकता है। अधिक परिष्कृत दृष्टिकोण में इंद्रधनुष तालिकाओं का उपयोग सम्मिलित है, जो थोड़े लंबे लुकअप-समय की कीमत पर भंडारण आवश्यकताओं को कम करता है। इस तरह के अटैक से समझौता किए गए प्रमाणीकरण प्रोटोकॉल के उदाहरण के लिए एलएम हैश देखें।
प्री-कंप्यूटेड डिक्शनरी अटैक, या रेनबो टेबल अटैक, नमक (क्रिप्टोग्राफी) के प्रयोग से रोका जा सकता है, ऐसी तकनीक जो हैश डिक्शनरी को प्रत्येक पासवर्ड के लिए फिर से कंप्यूट करने के लिए मजबूर करती है, जिससे पूर्वगणना संभव हो जाता है, बशर्ते कि संभावित नमक मूल्यों की संख्या बहुत बड़ा है।[5]
डिक्शनरी अटैक सॉफ्टवेयर
- कैन एंड एबेल (सॉफ्टवेयर)
- क्रैक (पासवर्ड सॉफ्टवेयर)
- एयरक्रैक- एनजी
- जॉन द रिपर
- L0pht क्रैक
- मेटास्प्लोइट प्रोजेक्ट
- ओफक्रैक
- क्रिप्टोल
यह भी देखें
- क्रूरबल का अटैक
- ई-मेल एड्रेस हार्वेस्टिंग
- अंतरमहाद्वीपीय शब्दकोश श्रृंखला ऑनलाइन भाषाई डेटाबेस
- कुंजी व्युत्पत्ति फलन
- चाबी खींचना
- पासवर्ड क्रैकिंग
- पासवर्ड की मजबूती
संदर्भ
- ↑ Junghyun Nam; Juryon Paik; Hyun-kyu Kang; Ung Kim; Dongho Won (2009-03-01). "एक सरल तीन-पक्ष कुंजी विनिमय प्रोटोकॉल पर एक ऑफ-लाइन शब्दकोश हमला". IEEE Communications Letters. 13 (3): 205–207. doi:10.1109/LCOMM.2009.081609. ISSN 1089-7798.
- ↑ "Oxford Languages and Google - English | Oxford Languages". languages.oup.com (in British English). Retrieved 2021-01-02.
- ↑ Jeff Atwood. "Dictionary Attacks 101".
- ↑ CrackStation's list. e.g., with over 1.4 billion words.
- ↑ "CAPEC - CAPEC-55: Rainbow Table Password Cracking (Version 3.5)". capec.mitre.org. Retrieved 2021-09-12.
बाहरी संबंध
- RFC 2828 – Internet Security Glossary
- RFC 4949 – Internet Security Glossary, Version 2
- US Secret Service use a distributed dictionary attack on suspect's password protecting encryption keys
- Testing for Brute Force (OWASP-AT-004) Archived 2020-01-14 at the Wayback Machine