حمله لغت‌نامه‌ای

از ویکی‌پدیا، دانشنامهٔ آزاد
پرش به: ناوبری، جستجو

حملهٔ لغت‌نامه‌ای (به انگلیسی: Dictionary attack) در تحلیل رمز و امنیت شبکه‌های رایانه‌ای، روشی برای شکستن یک رمز و یا مکانیزمی برای احراز هویت است.
این حمله با تلاش برای تشخیص کلید رمز گشایی یک متن یا رمز عبور به وسیلهٔ جستجوی همه احتمالات ممکن در یک لغت‌نامه صورت می‌گیرد.

روش حمله[ویرایش]

حمله لغت‌نامه‌ای با استفاده از روشی هدفمند و متوالی به جستجوی همه کلمات در فهرستی جامع و استاندارد که لغت‌نامه نام دارد، می‌پردازد.
در مقایسه با حملهٔ جستجوی فراگیر (به انگلیسی: Brute force attack)، که در آن همهٔ حالات ممکن بررسی می‌گردد؛ حملهٔ لغت‌نامه‌ای فقط حالاتی را در نظر می‌گیرد که بیشترین احتمال موفقیت را دارند؛ که به طور معمول هم از یک فرهنگ لغت بهره می‌گیرد.

دلیل موفقیت حملهٔ لغت‌نامه‌ای[ویرایش]

به طور کلی حملهٔ لغت‌نامه‌ای موفق بوده است، زیرا اکثر مردم تمایل به انتخاب رمز عبوری دارند که ساده و کوتاه باشد (۷ کاراکتر یا کمتر)، یا انتخاب تک‌واژه‌های اغلب ساده که معمولا هم در همین لغت‌نامه‌ها وجود دارند، و همچنین به راحتی قابل پیش‌بینی‌اند مانند داده‌های رقمی.
در نتیجه؛ این‌گونه رمزها به راحتی قابل شکستن هستند. اما می‌توان با انتخاب صحیح رمز عبور مثلا با اضافه کردن یک کاراکتر تصادفی در وسط رمز عبور، استفاده از ترکیب حروف و رقم و یا روش‌های امن‌تر دیگر از آن در مقابل این حمله محافظت نمود.

حملهٔ لغت‌نامه‌ای از لحاظ سرعت[ویرایش]

حمله لغت‌نامه‌ای نسبتا از سرعت خوبی برخودار است که بستگی به طول لغت‌نامه دارد، یعنی در صورت بزرگ بودن لغت‌نامه امکان تاخیر وجود دارد.

لغت‌نامه یا فهرست واژه‌ها[ویرایش]

لغت‌نامه یا فهرست واژه‌هایی که هکر‌های بداندیش برای حمله از آن استفاده می‌کنند چیزی فراتر از یک لغت‌نامه است.
در حقیقت لیستی از پیش ترتیب داده شده از مقادیر است؛ که در یک فایل ذخیره شده‌اند.
به عنوان مثال،[۱] ممکن است واژه‌ای مانند qwerty را در لغت‌نامه‌های معمولی پیدا نکنید؛ اما به طور قطع در فهرست واژه‌هایی که فرد حمله کننده در اختیار دارد پیدا می‌شود.

نمونه[ویرایش]

یکی از فرم‌های این حمله استفاده از اسپم ایمیل است که در آن اسپمر هزاران یا میلیون‌ها ایمیل به آدرس‌هایی می‌فرستد که با استفاده از ترکیب حروف اضافه شده به نام‌دامنه شناخته شده، و به طور تصافی تولید شده‌اند تا در نهایت از میان آن‌ها آدرسی واقعی بدست آید.
به عنوان مثال فرد حمله کننده تمامی ترکیبات ممکن از چند حرف را کنار هم می‌گذارد مانند ACB، ABC1، CBA و ... و بعد آن را همراه @ به نام دامنهٔ شناخته شده‌ای اضافه می‌کند و با ارسال اسپم به آن‌ها سعی در پیدا کردن آدرس ایمیل واقعی دارد.

وب‌سایت‌هایی وجود دارند که این نوع از حملات را پی‌گیری می‌کنند.[۲]

پانویس[ویرایش]

منابع[ویرایش]

پیوند به بیرون[ویرایش]

  • مشارکت‌کنندگان ویکی‌پدیا، «Dictionary attack»، ویکی‌پدیای انگلیسی، دانشنامهٔ آزاد (بازیابی در ۲۳ تیر ۱۳۹۱).

جستارهای وابسته[ویرایش]