Bug Online

Zaporke se uglavnom pohranjuju korištenjem jednosmjernih funkcija sažimanja (engl. hashing) koje ulazni tekstualni niz zaporke pretvaraju u tzv. sažetak (engl. hash). Budući da se zaporke proizvoljnih duljina pretvaraju u niz s fiksnim brojem znakova, mogući su slučajevi gdje više različitih ulaznih zaporki generira iste izlazne hash-vrijednosti. Stoga ne postoji obrnuti hashing-algoritam koji bi matematičkim operacijama iz hash-vrijednosti otkrio originalni ulazni niz. Ovo svojstvo jednim dijelom otežava napadačima razotkrivanje originalnog ulaznog niza, ali im i olakšava pronalaženje niza putem kojeg bi mogli generirati istu hash-vrijednost te uspješno proći provjeru zaporke.

Za otkrivanje zaporki postoji više metodologija. Metoda rječnika (engl. dictionary) isprobava različite oblike smislenih riječi ili jednostavnih nizova, a na Internetu je moguće pronaći brojne rječnike za različita govorna područja, uključujući i hrvatski. Budući da dictionary-metoda ne isprobava puno veći skup nesmislenih nizova, moguće je koristiti i brute-force metodu koja isprobava sve moguće kombinacije ulaznih znakova dok ne pronađe zaporku ili niz koji generira istu hash-vrijednost kao i zaporka. Ipak, već pri duljinama zaporki od osam znakova (slova, brojevi, specijalni znakovi) brute-force proces izvođen na bržem računalu (npr. 10 milijuna pokušaja u sekundi) može se produljiti do nekoliko godina.

Princip brute-force napada spor je i neefikasan ako je zaporka preduga. Stoga je razvijena ideja da se jednom izračunate hash-vrijednosti zaporki pohrane kako se ne bi morale svaki put nanovo izračunavati. U tu svrhu razvijeno je korištenje tzv. rainbows-tablica koje se sastoje od unaprijed izračunatih lista hash-vrijednosti „svih“ zaporki pa se uz poznavanje hash-vrijednosti pretragom tablica može otkriti odgovarajuća zaporka. Pri tome proces otkrivanja zaporki može trajati samo nekoliko sekundi ili minuta dok proces generiranja rainbow-tablica može trajati i godinama.