حمله لغتنامهای
حملهٔ لغتنامهای (به انگلیسی: Dictionary attack) در تحلیل رمز و امنیت شبکههای رایانهای، روشی برای شکستن یک رمز یا مکانیزمی برای احراز هویت است.
این حمله با تلاش برای تشخیص کلید رمز گشایی یک متن یا رمز عبور به وسیلهٔ جستجوی همه احتمالات ممکن در یک لغتنامه صورت میگیرد.
روش حمله
حمله لغتنامهای با استفاده از روشی هدفمند و متوالی به جستجوی همه کلمات در فهرستی جامع و استاندارد که لغتنامه نام دارد، میپردازد.
در مقایسه با حملهٔ جستجوی فراگیر (به انگلیسی: Brute force attack)، که در آن همهٔ حالات ممکن بررسی میگردد؛ حملهٔ لغتنامهای فقط حالاتی را در نظر میگیرد که بیشترین احتمال موفقیت را دارند؛ که بهطور معمول هم از یک فرهنگ لغت بهره میگیرد.
دلیل موفقیت حملهٔ لغتنامهای
بهطور کلی حملهٔ لغتنامهای موفق بودهاست، زیرا اکثر مردم تمایل به انتخاب رمز عبوری دارند که ساده و کوتاه باشد (۷ کاراکتر یا کمتر)، یا انتخاب تکواژههای اغلب ساده که معمولاً هم در همین لغتنامهها وجود دارند، و همچنین به راحتی قابل پیشبینیاند مانند دادههای رقمی.
در نتیجه؛ اینگونه رمزها به راحتی قابل شکستن هستند. اما میتوان با انتخاب صحیح رمز عبور مثلاً با اضافه کردن یک کاراکتر تصادفی در وسط رمز عبور، استفاده از ترکیب حروف و رقم یا روشهای امنتر دیگر از آن در مقابل این حمله محافظت نمود.
حملهٔ لغتنامهای از لحاظ سرعت
حمله لغتنامهای نسبتاً از سرعت خوبی برخودار است که بستگی به طول لغتنامه دارد، یعنی در صورت بزرگ بودن لغتنامه امکان تأخیر وجود دارد.
لغتنامه یا فهرست واژهها
لغتنامه یا فهرست واژههایی که هکرهای بداندیش برای حمله از آن استفاده میکنند چیزی فراتر از یک لغتنامه است.
در حقیقت لیستی از پیش ترتیب داده شده از مقادیر است؛ که در یک فایل ذخیره شدهاند.
به عنوان مثال، ممکن است واژهای مانند QWERTY را در لغتنامههای معمولی پیدا نکنید؛ اما بهطور قطع در فهرست واژههایی که فرد حملهکننده در اختیار دارد پیدا میشود.
نمونه
یکی از فرمهای این حمله استفاده از اسپم ایمیل است که در آن اسپمر هزاران یا میلیونها ایمیل به آدرسهایی میفرستد که با استفاده از ترکیب حروف اضافه شده به نام دامنه شناخته شده، و بهطور تصافی تولید شدهاند تا در نهایت از میان آنها آدرسی واقعی بدست آید.
به عنوان مثال فرد حملهکننده تمامی ترکیبات ممکن از چند حرف را کنار هم میگذارد مانند ACB, ABC1، CBA و … و بعد آن را همراه @ به نام دامنهٔ شناخته شدهای اضافه میکند و با ارسال اسپم به آنها سعی در پیدا کردن آدرس ایمیل واقعی دارد.
وبسایتهایی وجود دارند که این نوع از حملات را پیگیری میکنند.
پانویس
منابع
- John Ostrowick. "Dictionary attack" (به انگلیسی).
- "Brute Force vs. Dictionary Attacks" (به انگلیسی). Archived from the original on 29 May 2012.