Bakalavr bitiruv ishi mavzu: «unix va Windows operatsion tizimlarining parolli himoyasini buzish va ularni qayta tiklash usullari»

LM algoritmining eng katta zararli tomoni shundan iboratki, u parolni 7 belgidan iborat bo'laklarga bo'ladi. Agar foydalanuvchi 14 ta belgidan kam bo’lgan parolni kiritsa, dastur uni 14 belgidan iborat uzunlikka ega bo'lish uchun unga nol qiymat qo’shadi. Agar foydalanuvchi paroli 14 belgidan oshsa, LM heshi bo'sh parol bilan bir xil ko'rinadi. 7 belgidan iborat qismlarning har biri mustaqil ravishda shifrlangan bo’lib. Bu parolni tiklash jarayonini sezilarli darajada osonlashtiradi va tezlatadi. LM heshining yana bir zararli tomoni, shifrlash vaqtida parolning barcha alifbo belgilarining katta harfga aylantirilganligi bilan bog'liq. Boshqacha aytganda, PASSWORD, parol, parol yoki pAsswOrd uchun heshlar butunlay bir xil bo'ladi. Bu orqali esa buzg’unchi zamonaviy shaxsiy kompyuterlar orqali brute-forse hujumi bilan bir necha daqiqa ichida (hatto Rainbow hujumidan foydalanganda ham) alfanumeric LM hashini tanlashi mumkin bo’ladi. Keling, ba’zi bit raqamlarni hisoblab ko’raylik. Parollarni tanlash uchun alphanumeric kompinatsiyalarni amalga oshirish uchun biz parolni ikkita 7-belgili uzun qismga bo'lishimiz kerak, so'ngra 36+32^2+..+36^7=80603140212 marta kombinatsiyani amalga oshirishimiz kerak. Bundan tashqari, barcha heshlar bir vaqtning o'zida izlanadi. Bu protsesni Intel Core i7 kompyuteri orqali amalga oshirilganda sekundiga 100 milion parolni tekshirib ko’rish mumkin ya’ni yuqoridagi kombinatsiyaga 80603140212/100000000 = 806 soniya vaqt ketadi. Shundat qilib, brute force hujumi orqali 10 daqiqadan ko'proq vaqt ichida to'g'ri parolni olishimiz mumkin bo’ladi.

NT hashlar bilan esa bu biroz murakkab. NT hesh funksiyasi LM da bolgan umumiy kamchiliklarga ega emas. Bundan kelib chiqadiki NT konversion algoritmi tezroq bo'lishiga qaramasdan parolni tiklash ehtimoli uning uzunligi va murakkabligiga butunlay bog'liq. Quyidagi jadvalga qarab, qidirish vaqtining parol uzunligi va murakkabligiga qanday bog'liqligini ko'rsatib beramiz. Brute forcening tezligi 10 mlrd. p / s (2014 yilda 1 ta yuqori GPU).



2.2.1-rasm. Brute force tezligiga oid tahlil natijalari.