حمله لغت‌نامه‌ای

از ویکی‌پدیا، دانشنامهٔ آزاد

حملهٔ لغت‌نامه‌ای (به انگلیسی: Dictionary attack) در تحلیل رمز و امنیت شبکه‌های رایانه‌ای، روشی برای شکستن یک رمز یا مکانیزمی برای احراز هویت است.
این حمله با تلاش برای تشخیص کلید رمز گشایی یک متن یا رمز عبور به وسیلهٔ جستجوی همه احتمالات ممکن در یک لغت‌نامه صورت می‌گیرد.

روش حمله[ویرایش]

حمله لغت‌نامه‌ای با استفاده از روشی هدفمند و متوالی به جستجوی همه کلمات در فهرستی جامع و استاندارد که لغت‌نامه نام دارد، می‌پردازد.
در مقایسه با حملهٔ جستجوی فراگیر (به انگلیسی: Brute force attack)، که در آن همهٔ حالات ممکن بررسی می‌گردد؛ حملهٔ لغت‌نامه‌ای فقط حالاتی را در نظر می‌گیرد که بیشترین احتمال موفقیت را دارند؛ که به‌طور معمول هم از یک فرهنگ لغت بهره می‌گیرد.

دلیل موفقیت حملهٔ لغت‌نامه‌ای[ویرایش]

به‌طور کلی حملهٔ لغت‌نامه‌ای موفق بوده‌است، زیرا اکثر مردم تمایل به انتخاب رمز عبوری دارند که ساده و کوتاه باشد (۷ کاراکتر یا کمتر)، یا انتخاب تک‌واژه‌های اغلب ساده که معمولاً هم در همین لغت‌نامه‌ها وجود دارند، و همچنین به راحتی قابل پیش‌بینی‌اند مانند داده‌های رقمی.
در نتیجه؛ این‌گونه رمزها به راحتی قابل شکستن هستند. اما می‌توان با انتخاب صحیح رمز عبور مثلاً با اضافه کردن یک کاراکتر تصادفی در وسط رمز عبور، استفاده از ترکیب حروف و رقم یا روش‌های امن‌تر دیگر از آن در مقابل این حمله محافظت نمود.

حملهٔ لغت‌نامه‌ای از لحاظ سرعت[ویرایش]

حمله لغت‌نامه‌ای نسبتاً از سرعت خوبی برخودار است که بستگی به طول لغت‌نامه دارد، یعنی در صورت بزرگ بودن لغت‌نامه امکان تأخیر وجود دارد.

لغت‌نامه یا فهرست واژه‌ها[ویرایش]

لغت‌نامه یا فهرست واژه‌هایی که هکر‌های بداندیش برای حمله از آن استفاده می‌کنند چیزی فراتر از یک لغت‌نامه است.
در حقیقت لیستی از پیش ترتیب داده شده از مقادیر است؛ که در یک فایل ذخیره شده‌اند.
به عنوان مثال،[۱] ممکن است واژه‌ای مانند QWERTY را در لغت‌نامه‌های معمولی پیدا نکنید؛ اما به‌طور قطع در فهرست واژه‌هایی که فرد حمله‌کننده در اختیار دارد پیدا می‌شود.

نمونه[ویرایش]

یکی از فرم‌های این حمله استفاده از اسپم ایمیل است که در آن اسپمر هزاران یا میلیون‌ها ایمیل به آدرس‌هایی می‌فرستد که با استفاده از ترکیب حروف اضافه شده به نام دامنه شناخته شده، و به‌طور تصافی تولید شده‌اند تا در نهایت از میان آن‌ها آدرسی واقعی بدست آید.
به عنوان مثال فرد حمله‌کننده تمامی ترکیبات ممکن از چند حرف را کنار هم می‌گذارد مانند ACB, ABC1، CBA و … و بعد آن را همراه @ به نام دامنهٔ شناخته شده‌ای اضافه می‌کند و با ارسال اسپم به آن‌ها سعی در پیدا کردن آدرس ایمیل واقعی دارد.

وب‌سایت‌هایی وجود دارند که این نوع از حملات را پی‌گیری می‌کنند.[۲]

پانویس[ویرایش]

  1. Password Recovery Methods - Dictionary Attack
  2. https://www.projecthoneypot.org/dictionary_attacker_top_countries.php?dt=all

منابع[ویرایش]

  • John Ostrowick. "Dictionary attack" (به انگلیسی).
  • "Brute Force vs. Dictionary Attacks" (به انگلیسی). Archived from the original on 29 May 2012.

پیوند به بیرون[ویرایش]

جستارهای وابسته[ویرایش]

برگرفته از «https://fa.wikipedia.org/w/index.php?title=حمله_لغت‌نامه‌ای&oldid=33691929»