và mạnh hơn nhiều so với John the Ripper.) Ngoài ra, hacker cũng không
mò mẫm thử từng mật khẩu khả dĩ trên một website trực tiếp.
Giả sử kẻ xấu đã lấy cắp được dữ liệu, và trong phần dữ liệu kết xuất có cả
tên người dùng cũng như mật khẩu. Nhưng các mật khẩu thu được từ cuộc
xâm phạm này chỉ là những thứ vô nghĩa.
Mà như vậy thì kẻ tấn công đâu có được lợi ích gì?
Hễ khi nào bạn gõ một mật khẩu, dù là để mở khóa máy tính xách tay hay
một dịch vụ trực tuyến – mật khẩu đó sẽ được đưa qua một thuật toán một
chiều gọi là hàm băm. Nó khác với quá trình mã hóa. Mã hóa là hai chiều:
bạn có thể mã hóa và giải mã, với điều kiện bạn có chìa khóa trong tay. Hàm
băm là một dạng dấu vân tay đại diện cho một chuỗi ký tự cụ thể. Về lý
thuyết, các thuật toán một chiều là bất khả đảo – hoặc ít nhất là không dễ
dàng.
Nội dung được lưu trữ trong cơ sở dữ liệu mật khẩu trên máy tính cá nhân
truyền thống, thiết bị di động, hoặc tài khoản đám mây của bạn không phải
là MaryHadALittleLamb123$, mà là giá trị băm của nó, tức là một chuỗi các
số và chữ cái, đóng vai trò là dấu hiệu đại diện cho mật khẩu của bạn.
Bộ nhớ được bảo vệ trên máy tính lưu trữ giá trị băm của mật khẩu, chứ
không phải là bản thân mật khẩu, và các giá trị này có thể bị đánh cắp trong
một cuộc tấn công vào các hệ thống mục tiêu hoặc bị rò rỉ trong các vụ xâm
phạm dữ liệu. Sau khi đã lấy được các giá trị băm mật khẩu này, hacker có
thể sử dụng nhiều công cụ có sẵn công khai, như John the Ripper hoặc
oclHashcat, để phá vỡ chúng nhằm tìm ra mật khẩu thực thông qua kỹ thuật
vét cạn
hoặc thử từng từ trong một danh sách các từ, chẳng hạn từ điển.
Các tùy chọn trong John the Ripper và oclHashcat cho phép kẻ tấn công sửa
đổi các từ được thử trước nhiều bộ quy tắc, ví dụ bộ quy tắc leetspeak – một
hệ thống dùng để thay thế các chữ cái bằng số, như trong “k3v1n m17n1ck.”
Quy tắc này sẽ thay đổi tất cả các mật khẩu thành nhiều kiểu hoán vị
leetspeak khác nhau. Các phương pháp bẻ khóa mật khẩu này hiệu quả hơn
nhiều so với phương pháp tấn công vét cạn đơn giản. Thông thường, những
