Αποτίμηση μεθόδων αντίστροφης ανάλυσης κωδικών πρόσβασης

Η επίθεση παραβίασης ενός κωδικού πρόσβασης είναι απλώς μια επίθεση επαναλαμβανόμενων προσπαθειών. Ο επιτιθέμενος κάνει εικασίες σχετικά με τον κωδικό πρόσβασης ενός χρήστη μέχρι να μαντέψει σωστά ή να παραιτηθεί. Η ισχύς ενός κωδικού πρόσβασης εξαρτάται συχνά από το πόσο δύσκολο είναι για τον επιτι...

Πλήρης περιγραφή

Λεπτομέρειες βιβλιογραφικής εγγραφής
Κύριος συγγραφέας: Παπαθανασίου, Δημήτρης
Άλλοι συγγραφείς: Papathanasiou, Dimitris
Γλώσσα:Greek
Έκδοση: 2021
Θέματα:
Διαθέσιμο Online:http://hdl.handle.net/10889/15433
id nemertes-10889-15433
record_format dspace
spelling nemertes-10889-154332022-09-05T14:09:29Z Αποτίμηση μεθόδων αντίστροφης ανάλυσης κωδικών πρόσβασης Evaluation and analysis of password cracking methods Παπαθανασίου, Δημήτρης Papathanasiou, Dimitris Κωδικός πρόσβασης Αλγόριθμοι κατακερματισμού Password cracking John the Ripper Η επίθεση παραβίασης ενός κωδικού πρόσβασης είναι απλώς μια επίθεση επαναλαμβανόμενων προσπαθειών. Ο επιτιθέμενος κάνει εικασίες σχετικά με τον κωδικό πρόσβασης ενός χρήστη μέχρι να μαντέψει σωστά ή να παραιτηθεί. Η ισχύς ενός κωδικού πρόσβασης εξαρτάται συχνά από το πόσο δύσκολο είναι για τον επιτιθέμενο να μοντελοποιήσει και να αναπαράγει τον τρόπο με τον οποίο ο χρήστης δημιούργησε τον κωδικό πρόσβασής του. Εάν οι άνθρωποι μπορούσαν να δημιουργούν και να απομνημονεύουν τυχαίες τιμές, η παραβίαση κωδικών πρόσβασης θα ήταν σχεδόν αδύνατη υπόθεση. Η συντριπτική πλειοψηφία των ανθρώπων εξακολουθεί να ακολουθεί κοινά μοτίβα, από την κεφαλαιοποίηση του πρώτου γράμματος του κωδικού πρόσβασής τους μέχρι την τοποθέτηση αριθμών στο τέλος. Αυτό που αλλάζει όμως είναι οι τεχνικές προστασίας που χρησιμοποιούνται οι οποίες είναι ανεξάρτητες από τη συμπεριφορά του χρήστη. Πρακτικές όπως το salting των κωδικών πρόσβασης αναιρούν τη δυνατότητα προ-υπολογισμού των επιθέσεων. Ομοίως, οι αλγόριθμοι κατακερματισμού (hash) γίνονται όλο και πιο πολύπλοκοι υπολογιστικά, αυξάνοντας το κόστος για κάθε εικασία που κάνει ένας επιτιθέμενος. Ενώ πριν ένας επιτιθέμενος μπορούσε να βασιστεί σε απλές μεθόδους εξαντλητικών αναζητήσεων, υπάρχει αυξανόμενη ζήτηση για πιο αποτελεσματικούς τρόπους πρόβλεψης του κωδικού πρόσβασης ενός χρήστη. Το παρόν έγγραφο περιγράφει διάφορους τρόπους με τους οποίους μεγιστοποιείται η επιτυχία των επιθέσεων παραβίασης κωδικών πρόσβασης. Ξεκινώντας από απλές επιθέσεις μέχρι και την εφαρμογή πιθανολογικών τεχνικών, όπως τα μοντέλα Markov, υπάρχουν πολλοί διαφορετικοί τρόποι με τους οποίους οι πληροφορίες μπορούν να ενσωματωθούν στη μοντελοποίηση της συμπεριφοράς των χρηστών. Επιπλέον, οι τεχνικές που περιγράφονται στην παρούσα εργασία έχουν αναπτυχθεί με τη χρήση πραγματικών κωδικών πρόσβασης και έχουν δοκιμαστεί σε πραγματικές ελεγχόμενες επιθέσεις παραβίασης κωδικών πρόσβασης. Η γνώση του τρόπου με τον οποίο οι άνθρωποι επιλέγουν κωδικούς πρόσβασης μπορεί να εφαρμοστεί στην αξιολόγηση της αποτελεσματικότητας των πολιτικών δημιουργίας κωδικών πρόσβασης. A password cracking attack is simply an attack of repeated attempts. The attacker makes guesses of a user's password until they guess correctly or give up. The strength of a password often depends on how difficult it is for the attacker to model and replicate how the user created their password. If humans could create and memorize random values, password cracking would be a near-impossible task. The vast majority of people still follow common patterns, from capitalizing the first letter of their password to putting numbers at the end. What changes, however, are the protection techniques used which are independent of user behavior. Practices such as password salting negate the ability to pre-compute attacks. Similarly, hash algorithms are becoming more computationally complex, increasing the cost for each guess an attacker makes. Whereas before an attacker could rely on simple exhaustive search methods, there is a growing demand for more efficient ways to predict a user's password. This paper describes several ways in which the success of password compromise attacks is maximized. Ranging from simple attacks to the application of probabilistic techniques such as Markov models, there are many different ways in which information can be incorporated into the modeling of user behavior. Furthermore, the techniques described in this paper have been developed using real passwords and tested in real controlled password compromise attacks. Knowledge of how people choose passwords can be applied to evaluate the effectiveness of password generation policies. 2021-10-25T05:12:33Z 2021-10-25T05:12:33Z 2021-10-22 http://hdl.handle.net/10889/15433 gr application/pdf
institution UPatras
collection Nemertes
language Greek
topic Κωδικός πρόσβασης
Αλγόριθμοι κατακερματισμού
Password cracking
John the Ripper
spellingShingle Κωδικός πρόσβασης
Αλγόριθμοι κατακερματισμού
Password cracking
John the Ripper
Παπαθανασίου, Δημήτρης
Αποτίμηση μεθόδων αντίστροφης ανάλυσης κωδικών πρόσβασης
description Η επίθεση παραβίασης ενός κωδικού πρόσβασης είναι απλώς μια επίθεση επαναλαμβανόμενων προσπαθειών. Ο επιτιθέμενος κάνει εικασίες σχετικά με τον κωδικό πρόσβασης ενός χρήστη μέχρι να μαντέψει σωστά ή να παραιτηθεί. Η ισχύς ενός κωδικού πρόσβασης εξαρτάται συχνά από το πόσο δύσκολο είναι για τον επιτιθέμενο να μοντελοποιήσει και να αναπαράγει τον τρόπο με τον οποίο ο χρήστης δημιούργησε τον κωδικό πρόσβασής του. Εάν οι άνθρωποι μπορούσαν να δημιουργούν και να απομνημονεύουν τυχαίες τιμές, η παραβίαση κωδικών πρόσβασης θα ήταν σχεδόν αδύνατη υπόθεση. Η συντριπτική πλειοψηφία των ανθρώπων εξακολουθεί να ακολουθεί κοινά μοτίβα, από την κεφαλαιοποίηση του πρώτου γράμματος του κωδικού πρόσβασής τους μέχρι την τοποθέτηση αριθμών στο τέλος. Αυτό που αλλάζει όμως είναι οι τεχνικές προστασίας που χρησιμοποιούνται οι οποίες είναι ανεξάρτητες από τη συμπεριφορά του χρήστη. Πρακτικές όπως το salting των κωδικών πρόσβασης αναιρούν τη δυνατότητα προ-υπολογισμού των επιθέσεων. Ομοίως, οι αλγόριθμοι κατακερματισμού (hash) γίνονται όλο και πιο πολύπλοκοι υπολογιστικά, αυξάνοντας το κόστος για κάθε εικασία που κάνει ένας επιτιθέμενος. Ενώ πριν ένας επιτιθέμενος μπορούσε να βασιστεί σε απλές μεθόδους εξαντλητικών αναζητήσεων, υπάρχει αυξανόμενη ζήτηση για πιο αποτελεσματικούς τρόπους πρόβλεψης του κωδικού πρόσβασης ενός χρήστη. Το παρόν έγγραφο περιγράφει διάφορους τρόπους με τους οποίους μεγιστοποιείται η επιτυχία των επιθέσεων παραβίασης κωδικών πρόσβασης. Ξεκινώντας από απλές επιθέσεις μέχρι και την εφαρμογή πιθανολογικών τεχνικών, όπως τα μοντέλα Markov, υπάρχουν πολλοί διαφορετικοί τρόποι με τους οποίους οι πληροφορίες μπορούν να ενσωματωθούν στη μοντελοποίηση της συμπεριφοράς των χρηστών. Επιπλέον, οι τεχνικές που περιγράφονται στην παρούσα εργασία έχουν αναπτυχθεί με τη χρήση πραγματικών κωδικών πρόσβασης και έχουν δοκιμαστεί σε πραγματικές ελεγχόμενες επιθέσεις παραβίασης κωδικών πρόσβασης. Η γνώση του τρόπου με τον οποίο οι άνθρωποι επιλέγουν κωδικούς πρόσβασης μπορεί να εφαρμοστεί στην αξιολόγηση της αποτελεσματικότητας των πολιτικών δημιουργίας κωδικών πρόσβασης.
author2 Papathanasiou, Dimitris
author_facet Papathanasiou, Dimitris
Παπαθανασίου, Δημήτρης
author Παπαθανασίου, Δημήτρης
author_sort Παπαθανασίου, Δημήτρης
title Αποτίμηση μεθόδων αντίστροφης ανάλυσης κωδικών πρόσβασης
title_short Αποτίμηση μεθόδων αντίστροφης ανάλυσης κωδικών πρόσβασης
title_full Αποτίμηση μεθόδων αντίστροφης ανάλυσης κωδικών πρόσβασης
title_fullStr Αποτίμηση μεθόδων αντίστροφης ανάλυσης κωδικών πρόσβασης
title_full_unstemmed Αποτίμηση μεθόδων αντίστροφης ανάλυσης κωδικών πρόσβασης
title_sort αποτίμηση μεθόδων αντίστροφης ανάλυσης κωδικών πρόσβασης
publishDate 2021
url http://hdl.handle.net/10889/15433
work_keys_str_mv AT papathanasioudēmētrēs apotimēsēmethodōnantistrophēsanalysēskōdikōnprosbasēs
AT papathanasioudēmētrēs evaluationandanalysisofpasswordcrackingmethods
_version_ 1771297242225836032