レインボーテーブルとは何ですか？どのように使用されますか？

レインボーテーブルは、パスワードの回復における計算時間とストレージのトレードオフであるハッシュテーブルを活用する別の簡単な手法と混同されることがよくあります。

ハッシュテーブルは、各ワードをパスワードディクショナリでハッシュすることによって構築されます。パスワードとハッシュのペアは、ハッシュ値でソートされたテーブルに格納されます。ハッシュテーブルを使用するには、ハッシュを取得し、テーブルでバイナリ検索を実行して、元のパスワードが存在する場合はそれを見つけます。

レインボーテーブルはより複雑です。レインボーテーブルを作成するには、ハッシュ関数とリダクション関数の2つが必要です。レインボーテーブルの特定のセットのハッシュ関数は、回復するハッシュ化されたパスワードと一致する必要があります。リダクション関数は、ハッシュをパスワードとして使用可能なものに変換する必要があります。単純なリダクション関数は、ハッシュをBase64エンコードし、特定の文字数に切り捨てます。

レインボーテーブルは、特定の長さ（たとえば100,000）の「チェーン」で構成されています。チェーンを構築するには、ランダムなシード値を選択します。次に、このシードとその出力にハッシュ関数と削減関数を適用し、100,000回繰り返します。シードと最終値のみが保存されます。このプロセスを繰り返して、必要な数のチェーンを作成します。

Rainbow Tablesを使用してパスワードを回復するために、パスワードハッシュは同じ長さの上記のプロセスを受けます。この場合、100,000ですが、チェーン内の各リンクは保持されます。チェーン内の各リンクは、各チェーンの最終的な値と比較されます。一致がある場合、チェーンは再構築され、各ハッシュ関数の出力と各リダクション関数の出力の両方が保持されます。その再構築されたチェーンには、問題のパスワードのハッシュと、それを生成したパスワードが含まれます。

ハッシュテーブルの強みは、パスワードの回復が非常に速く（バイナリ検索）、ハッシュテーブルを作成する人は、上位10,000個のパスワードなど、それに入るものを選択できることです。レインボーテーブルと比較した場合の弱点は、ハッシュテーブルがすべてのハッシュとパスワードのペアをすべて格納する必要があることです。

レインボーテーブルには、各チェーンのリンク数を選択することで、テーブルを作成する人が必要なストレージの量を選択できるという利点があります。シードと最終値の間のリンクが多いほど、より多くのパスワードがキャプチャされます。弱点の1つは、チェーンを作成する人がキャプチャしたパスワードを選択しないため、レインボーテーブルを一般的なパスワード用に最適化できないことです。また、パスワードの回復には、ハッシュの長いチェーンの計算が含まれるため、回復にコストがかかります。チェーンが長くなるほど、より多くのパスワードがチェーンに取り込まれますが、内部でパスワードを見つけるのに時間がかかります。

ハッシュテーブルは一般的なパスワードに適しており、レインボーテーブルは厳しいパスワードに適しています。最善の方法は、ハッシュテーブルや、上位N個のパスワードの辞書を使用した従来のクラッキングを使用して、できるだけ多くのパスワードを回復することです。残っている場合は、レインボーテーブルを使用してください。