Dropp passordene

[ATWindsor]

Enkelt. Istedet for å lagre passordet, lagrer man en hash av passordet. Når man skal sjekke om det en bruker oppgir er riktig, hasher man den, og ser om resultatet er likt med det som er lagret.

Men har man hasher nok til å dekke alle passord? Eller er det slik at en hash kan være en stor mengde passord (slik som med filer)

 

AtW

[Terrasque]

Ta en titt på http://en.wikipedia.org/wiki/MD5

 

Det er totalt 2^128 forskjellige hasher med MD5-algorithmen. Siden det er uendelig med ting å hashe, må det være kollisjoner, men det er uhyre skjeldent (har hørt en gang at det er flere mulige hash'er enn det er sandkorn på jorda.. Vet ikke om det er sant (pleier ikke telle sandkorn så ofte), men det setter jo ting litt i perspektiv)

[potetskrell]

Imponerende artikkel!

[knalf]

Interessant artikkel.

 

Men til de som prater om MD5 strenger vil jeg bare kommentere at de ikke er reversible, og da lurer jeg på hva poenget deres egentlig var !?

 

Hvordan kan du ha glede av en MD5 streng utover å verifisere filer for eksempel?

Forklar oss hvordan hvis det finnes metoder å bruke det på i forbindelse med passordbruk. Unnskyld min uvitenhet hvis dette er godt kjent stoff.

 

Ser man bort ifra kollisjoner i MD5 algoritmen er også MD5 reversibelt. Passord med bare 4 små bokstaver feks, går forholdsvis raskt å finne. Det tar veldig lang tid når passordet begynner å bli langt, men da er vi tilbake igjen til diskusjonen om å lage gode passord. MD5 er ingen stor forbedring så lenge du ikke lager et bra passord.

[Cannon]

Til artikkelforfatteren:

 

Ikke for å være slem, men siden artikkelen i sin helhet er et sammendrag/referat fra Robert Hensings blog burde du gitt litt mer cred til han i artikkelen din. Du har riktignok linket til bloggen, men du skriver ingenting om at alt er hentet fra det Hensing postet i juli 2004.

 

Det er oppmuntrende å se at flere "oppdager" autentisering med fraser, og du skal ha honnør for det. Men det ser ut som om flere i forumet har inntrykk av at du har skrevet artikkelen, og du vil vel ikke ta æren for andres åndsverk?

 

Lykke til med videre arbeid rundt sikkerhet, og til dere andre: God og grundig opplæring i touch er kanskje den beste investeringen en bedrift kan foreta seg i forhold til å øke produktiviteten blant ansatte som skriver på tastatur i løpet av arbeidsdagen. Skriver man 300 tegn i minuttet er en autentiseringsfrase på 50 tegn unnagjort på ti sekunder. Har du tid til det?

[DarkSlayer]

Det er ikke snakk om tid. Det handler ikke om tid.

 

Det handler om hukommelse.

 

Er det noen her som har mer en 10 forskjellige pin og passord og som ikke har skrevet ned et eneste av de passordene?

 

Siden jeg er sikker på at omtrent alle skriver ned mesteparten av sine b/p - så stiller jeg et stort spørsmålstegn med bruk av avanserte passord i det hele tatt.

 

Rettferdiggjør passfraser når vedkommende som skal bruke det skriver ned passordet!!!!!!!!

 

Og det med hashing. Jeg vet ikke om et eneste tilfelle der md5 har blitt reversert, men jeg vet at den er definert som uttrygg siden man kan lage 2 eller flere strenger som gir den samme hashkoden.

[knalf]

Det er ikke snakk om tid. Det handler ikke om tid.

 

Det handler om hukommelse.

 

Er det noen her som har mer en 10 forskjellige pin og passord og som ikke har skrevet ned et eneste av de passordene?

 

Siden jeg er sikker på at omtrent alle skriver ned mesteparten av sine b/p - så stiller jeg et stort spørsmålstegn med bruk av avanserte passord i det hele tatt.

 

Rettferdiggjør passfraser når vedkommende som skal bruke det skriver ned passordet!!!!!!!!

 

Og det med hashing. Jeg vet ikke om et eneste tilfelle der md5 har blitt reversert, men jeg vet at den er definert som uttrygg siden man kan lage 2 eller flere strenger som gir den samme hashkoden.

Det er ganske enkelt hvis du tenker deg om. Ta MD5 hashen som ble generert for passordet, sjekk om denne er lik MD5 hashen som blir generert for a, ab, abc osv osv, så lenge du måtte ønske. At du ikke vet om et eneste tilfelle der MD5 er blitt reversert er greit, men prøv å bruke sunn fornuft

Endret 9. mai 2005 av knalf

[DarkSlayer]

Joa, men du skal ha en bra maskin for å reversere en md5 hash (selv om den er gammel).

 

Men reversibel så tenker jeg mer at du kjører en formel, vips så er passordet i klartekst. Mens brute force så finner du kun den strengen som gir samme hash ... selv om det er meget stor sannsynlighet at du treffer jackpot, så er muligheten den at du har funnet et annen streng som ikke er passordet men som gir samme hash.

 

anyway så er ikke dette så interessangt. Poenget mitt er mer at passord er oppskytt. Og når noen sier at du skal lage passord på en bestemt måte som er bedre, er for meg superteit.

 

Altså vi må ha passord, men ikke det syke opplegget vi har idag. Fritt valgt brukernavn, fritt valgt passord på minimum 5 tegn burde være nok. Trenger man bedre beskyttelse så må man se på andre måter å beskytte seg mot.

 

Målet må være å kunne ha minst mulig antall b/p å huske på, må være lett å bytte, lett å overvåke om noen prøver å bruke ditt b/p.

[JohndoeMAKT]

Darkslayer:

Det vil ta meg 17,8 minutter å lage rainbowtables som gir meg 99.06 % sjanse for å finne et 5 bokstavers (store og små) passord ut av md5 hash.

Og etter at jeg har generert rainbowtablene så (15 MB) så kan jeg bruke de til å finne tilsvarende passord på maks 21 sekunder.

 

Det er ikke akkurat hva jeg kaller sikkert.

 

Når jeg kalkulerer litt på Terrasque sitt eksempel med 8 tegn (store og små bokstaver + tall) så vil rainbowtables til 99.03 % ta meg 18.2 år å lage, de vil ta 600.51 GB og det vil ta meg 1.7 dager å søke gjennom hele.

 

Tisvarende :

85% = 7.5 år

50% = 2.7 år

 

 

Med forbehold om feil og ikke optimale rainbow settings, dual Xeon 3200MHz, to parallelle tråder.

 

Jeg har fire passord av forskjellig "security level", men systemet jeg har for å huske de er som følgende:

 

Pass1 blir brukt på forum etc hvor sikkerhet ikke er viktig og hastighet er ønsket

Pass2 blir brukt plasser online hvor sikkerhet er litt viktigere

Pass3 blir brukt som admin pass og plasser hvor jeg ønsker høyere sikkerhet

Pass4 blir brukt på alt som har med penger å gjøre som nettbank, ebay, paypal

 

Pass1 = 6 loweralfa, et ord

Pass2 = 10 loweralfa ; Pass1 + to ord

Pass3 = ~11 loweralfa 4 upperalfa 1 tall 1 spesialtegn ; Pass2 + mer

Pass4 = ...you get the point

 

Jeg har altså kun et passord, men bruker forskjellig lengde av det til forskjellige plasser. Det er ikke optimalt, men er veldig mye lettere for meg enn alternativet.

 

EDIT: og når det gjelder slike tabeller så har vistnok

http://www.whitehat.co.il ganske stor md5 tabell og det har også

http://www.rainbowcrack.com/rainbowtables.php

 

Det finnes flere slike sider som gir deg tilgang til å søke på hasher for f.eks $10 / mnd.

Endret 9. mai 2005 av JohndoeMAKT

[DarkSlayer]

hehe - lage rainbow tables?

 

Da må du ha md5 hashen ... hvordan i huleste skal du får tilgang til den for en windowspc på en arbeidsplass, hvor de logger seg på server?

Tilgang til serveren, enten ved å logge deg inn som superbruker eller stenge av serveren for å lese disken.

 

Ergo så er påstanden teit. Jeg vedder på at sjangsen din for å tippe mitt 5 tegns passord på 5 forsøk er sinnsykt lav. Visa bruker 4 tall, skatteetaten bruker 4 tall .... hvorfor må du ha så mye mer og så veldigt avansert?

 

Web-servere, epostkontoer, innlogging til pc'er ... you name it. Så lenge vi snakker om å gjette passord til en bruker på et aktivt system så kan du gi opp, selv om brukeren har brukt det vanligste passordet som er dilbert.

 

Du må ha tilgang til systemene for å hente ut passordfila, og hvordan du sikkrer tilgangen til den er mer vesentlig enn et fancy passord.

 

rainbow tables ... høh

[Terrasque]

Da må du ha md5 hashen ... hvordan i huleste skal du får tilgang til den for en windowspc på en arbeidsplass, hvor de logger seg på server?

Tilgang til serveren, enten ved å logge deg inn som superbruker eller stenge av serveren for å lese disken.

Hørt om sniffing? ARP poison?

 

http://en.wikipedia.org/wiki/NTLM

 

Det finns leketøy som kan cracke passord utifra de challenge/response dataene, til og med leketøy som kan force plaintekst passord om systemet er litt dårlig satt opp.

 

Går påloggingen over nettverk, så kan den sniffes, og reduseres til et passivt system man kan knekke opp mot.

[DarkSlayer]

kjenner godt til sniffing og det der.

 

Men eg snakker ut fra en reel virkelighet, og ikke en teoretisk tenkt fjas.

 

Jeg vil si at det er mer usikkert å ha skrevet opp passordene, enn om det hadde vært et sinnsykt enkelt et.

 

passord er ikke alt, og jeg påstår at det er overvurdert som sikringsverktøy. Ergo så skyter du deg selv i foten med å henge deg opp i kun passord. Man må også se på tilgangen, hva som skal sikres, og andre ting.

 

Har du først noe som trengs å beskyttes orntli, så er plutselig selv et bra passord ikke godt nok.

[JohndoeMAKT]

Det siste du sier der er jeg helt enig i DS, men jeg ville bare påpeke at den lille forskjellen mellom 5 og 8 tegn og å dobble antall mulige tegn så øker du sikkerheten på passordet seriøst. En kjede er aldri sterkere enn det svakeste ledd, men det er betyr ikke at alle leddene bør være like svake.

[Terrasque]

DS: Hvis du mener sniffing er teoretisk fjas, er du idiot. Ta og lek litt med Cain. Se der hvor enkelt det er?

[kjhanken]

DS: Hvis du mener sniffing er teoretisk fjas, er du idiot. Ta og lek litt med Cain. Se der hvor enkelt det er?

Og lek kun med Cain på ditt eget testnettverk. Ikke finn på å benytte det andre steder, siden en da kan fort komme i virkelig trøbbel om en blir oppdaget vel og merke.

 

Cain og lignende program understreker at fysisk sikring er viktig, altså hindre at uvedkomne får fysisk tilgang til nettverkspunkter/pc'er.

[DarkSlayer]

Eg mener sniffing er fjas i den sammenheng at det blir det samme som å se over skulderen når noen taster inn visa koden din.

 

Med mindre noen er sinnsykt ute etter en bestemt ting, så ser jeg ikke for meg at noen gidder å hashe mulige passord.

 

De som virkelig er ute etter å bryte koden ... de klarer det, og det er mange måter å gjøre det på. Det er ikke saken. Men for å hindre amatører, tilfeldig forbipasserende som kjeder seg en dag og drittunger som er ute etter å gjøre litt hærverk ... så er et vanligt passord helt ok for de fleste ting. Det er faktisk ikke dokumentert at de systemer som har dårlige passord blir mer hacket enn de som har avanserte passord. Msn har vel fritt valgt over 6 tegn, de er jo ikke spesielt mer utsatt av den grunn. Skatteetaten har 4sifret pin kode ... men aetat kal ha 9tegn, må være tall, små og store bokstaver ... go figure....

 

For å stoppe proffe folk så må man først kvitte seg med gule lapper og bøker over passord, for det er der jeg ville ha lett først for å få tilgang til et system. Ikke sniffet og satt sammen et monstersystem for å hashe mulige passord. Vet du om et enkelt sikkerhetshull du kan utnytte så ok.

 

Idag så har alle systemer så sinnsykt mange passord rutiner at jeg sitter med et lass av ulike passord. Til og med jeg har standarisert mine b/p, men alikevel så må jeg skrive dem ned fordi de krever ulike brukernavn, ulike typer passord, noen lager passord til deg, og noen har så sinnsykt sære sammensetninger av passord at det blir på tryne.

 

Er lei passord. Skikkelig lei. Og jeg ser at ALLE skriver ned b/p. Jeg husker 6 - 8passord som jeg ikke trenger å skrive ned, 2 av dem er standariserte, resten generert til meg. Alle andre passord, og det er det en del av .. skriver jeg ned.

 

2 forrige jobbene eg hadde så brukte man et lass av passord til ulike systemer, og plassen var et eldorado for en hacker .. det fløt av nedskrevne b/p.... og "vinduet" var ofte åpent her og der. Og jeg nekter å tro at det var spesielt for dem.

 

Da hjelper passfraser, fancy passord og hashing-til-døde veldigt mye.

[JBlack]

Apropos skrive ned:

Finn et tall du husker, for eksempel 4 siffre: 1432

Bruk dette som en kode der du trekker fra/legger til et anntall bokstaver gitt av tallet.

 

Eksempel:

Passord: okwsj9w3

Legg til: 14321432

Skriv ned: pozuk3z5

 

Dette er sikkert fordi: Ingen veit dine fire siffre. Ingen veit nøyaktig hva slags system du har brukt. Folk vet ikke at du har 'kryptert' passordet før de prøver det.

 

Problem: Noen skjønner at du har brukt et system, og har tilgang til både nedskrevet kode og det ekte passordet. Da er systemet lett å knekke.

 

Men dette er alikevel enormt mye tryggere enn å ha passord skrevet ned i klartekst. Metoden er samtidig veldig enkel, og den reduserer antall passord man må huske betraktelig. Det tar litt tid for passord man bruker sjeldnere, men det er ikke noe problem siden ofte brukte passord husker man.

[Velmont]

Som sagt. Bruk private/public keys. Eg bruker ikkje passord for å logge meg på

serverane osb! -- Det er endå sikrare - ingen keylogger vil kunne lese det,

passordet blir ikkje sendt over nettverket osbosb.

 

RSA/DSA ssh-keys. Framtida. :] -- (nei, eg har ikkje passord på keysene mine,

eg bruker keysa av di eg ikkje gidder å skrive inn passord - heldigvis er det

veldig sikkert sjølv utan passord, og kun èg har den private keyen...)

[wittrup58]

Eg mener sniffing er fjas i den sammenheng at det blir det samme som å se over skulderen når noen taster inn visa koden din.

Vil bare påpeke at det er en viss forskjell mellom å være fysisk tilstede og stå å kike over skulderen til noen, enn å sette en PC et stykke unna og sniffe etter passord. Man trenger jo faktisk ikke være tilstede under sniffingen heller (bot gjør jobben med å luke ut passord og sende dem til gitt sted). Og viss du vasker utstyret for fingeravtrykk osv. så er det ingen som finner ut hvem som eventuelt har plantet PC'n der. Skjønt?

[Zerd]

Passfrase og passord er like usikkre om en ondartet keylogger er installert.