Please use this identifier to cite or link to this item: http://hdl.handle.net/10889/15433
Title: Αποτίμηση μεθόδων αντίστροφης ανάλυσης κωδικών πρόσβασης
Other Titles: Evaluation and analysis of password cracking methods
Authors: Παπαθανασίου, Δημήτρης
Keywords: Κωδικός πρόσβασης
Αλγόριθμοι κατακερματισμού
Keywords (translated): Password cracking
John the Ripper
Abstract: Η επίθεση παραβίασης ενός κωδικού πρόσβασης είναι απλώς μια επίθεση επαναλαμβανόμενων προσπαθειών. Ο επιτιθέμενος κάνει εικασίες σχετικά με τον κωδικό πρόσβασης ενός χρήστη μέχρι να μαντέψει σωστά ή να παραιτηθεί. Η ισχύς ενός κωδικού πρόσβασης εξαρτάται συχνά από το πόσο δύσκολο είναι για τον επιτιθέμενο να μοντελοποιήσει και να αναπαράγει τον τρόπο με τον οποίο ο χρήστης δημιούργησε τον κωδικό πρόσβασής του. Εάν οι άνθρωποι μπορούσαν να δημιουργούν και να απομνημονεύουν τυχαίες τιμές, η παραβίαση κωδικών πρόσβασης θα ήταν σχεδόν αδύνατη υπόθεση. Η συντριπτική πλειοψηφία των ανθρώπων εξακολουθεί να ακολουθεί κοινά μοτίβα, από την κεφαλαιοποίηση του πρώτου γράμματος του κωδικού πρόσβασής τους μέχρι την τοποθέτηση αριθμών στο τέλος. Αυτό που αλλάζει όμως είναι οι τεχνικές προστασίας που χρησιμοποιούνται οι οποίες είναι ανεξάρτητες από τη συμπεριφορά του χρήστη. Πρακτικές όπως το salting των κωδικών πρόσβασης αναιρούν τη δυνατότητα προ-υπολογισμού των επιθέσεων. Ομοίως, οι αλγόριθμοι κατακερματισμού (hash) γίνονται όλο και πιο πολύπλοκοι υπολογιστικά, αυξάνοντας το κόστος για κάθε εικασία που κάνει ένας επιτιθέμενος. Ενώ πριν ένας επιτιθέμενος μπορούσε να βασιστεί σε απλές μεθόδους εξαντλητικών αναζητήσεων, υπάρχει αυξανόμενη ζήτηση για πιο αποτελεσματικούς τρόπους πρόβλεψης του κωδικού πρόσβασης ενός χρήστη. Το παρόν έγγραφο περιγράφει διάφορους τρόπους με τους οποίους μεγιστοποιείται η επιτυχία των επιθέσεων παραβίασης κωδικών πρόσβασης. Ξεκινώντας από απλές επιθέσεις μέχρι και την εφαρμογή πιθανολογικών τεχνικών, όπως τα μοντέλα Markov, υπάρχουν πολλοί διαφορετικοί τρόποι με τους οποίους οι πληροφορίες μπορούν να ενσωματωθούν στη μοντελοποίηση της συμπεριφοράς των χρηστών. Επιπλέον, οι τεχνικές που περιγράφονται στην παρούσα εργασία έχουν αναπτυχθεί με τη χρήση πραγματικών κωδικών πρόσβασης και έχουν δοκιμαστεί σε πραγματικές ελεγχόμενες επιθέσεις παραβίασης κωδικών πρόσβασης. Η γνώση του τρόπου με τον οποίο οι άνθρωποι επιλέγουν κωδικούς πρόσβασης μπορεί να εφαρμοστεί στην αξιολόγηση της αποτελεσματικότητας των πολιτικών δημιουργίας κωδικών πρόσβασης.
Abstract (translated): A password cracking attack is simply an attack of repeated attempts. The attacker makes guesses of a user's password until they guess correctly or give up. The strength of a password often depends on how difficult it is for the attacker to model and replicate how the user created their password. If humans could create and memorize random values, password cracking would be a near-impossible task. The vast majority of people still follow common patterns, from capitalizing the first letter of their password to putting numbers at the end. What changes, however, are the protection techniques used which are independent of user behavior. Practices such as password salting negate the ability to pre-compute attacks. Similarly, hash algorithms are becoming more computationally complex, increasing the cost for each guess an attacker makes. Whereas before an attacker could rely on simple exhaustive search methods, there is a growing demand for more efficient ways to predict a user's password. This paper describes several ways in which the success of password compromise attacks is maximized. Ranging from simple attacks to the application of probabilistic techniques such as Markov models, there are many different ways in which information can be incorporated into the modeling of user behavior. Furthermore, the techniques described in this paper have been developed using real passwords and tested in real controlled password compromise attacks. Knowledge of how people choose passwords can be applied to evaluate the effectiveness of password generation policies.
Appears in Collections:Τμήμα Ηλεκτρολ. Μηχαν. και Τεχνολ. Υπολογ. (ΔΕ)

Files in This Item:
File Description SizeFormat 
Διπλωματική Εργασία - Παπαθανασίου Δ. - 7884.pdf1.58 MBAdobe PDFView/Open


Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.