Zjistěte, jakou entropii má vaše heslo nebo passphrase a za jak dlouho může být prolomeno

V jednom minulém příspěvku jsem popisoval, jak vytvořit bezpečné heslo a bezpečnou passphrase a kladl si otázku, zda je bezpečnější heslo nebo passphrase.

Abychom vůbec mohli porovnat odolnost klasického hesla o určité délce (L) a komplexitě (C) a passphrase vytvořené z určitého počtu slov (L) a nacházejících se ve slovníku o určité velikosti (C), tak musíme nejprve vyjádřit jejich entropii (En) v bitech. Tu spočteme pomocí následujícího vzorce:

Štítky: ,
celý článek

Vaše komplexní heslo do Windows prolomíme za pár dnů

Na konferenci  Password^12, která se konala 3. prosince 2012, předvedl Jeremy M. Gosney svůj cluster, který dokáže prolomit 9znakové komplexní heslo do Windows během 10 dnů.

Jeremy svůj cluster postavil z 5 serverů, které dohromady obsahují 18 výkonných grafických karet disponujících celkem 25 GPU. Na nich pak spustil multiplatformní program HashCat, jenž je volně ke stažení, a který může být běžet na více strojích zapojených v clusteru, a plně využít síly GPU grafických karet k lámání hashů.

Štítky: ,
celý článek

Proč tak často dochází k únikům hesel?

V poslední době došlo k několika velkým únikům hashů hesel a k jejich následnému prolomení. Proč k tomu došlo? Dalo se tomu zabránit? Na tyto a další otázky se pokouší odpovědět tento rozhovor.

Většina provozovatelů webů buď spoléhá na to, že uživatelé budou používat bezpečná hesla a nebo jim je to úplně jedno. Pravda je taková, že uživatelé již po několik desítek let používají slabá hesla, která lze snadno uhádnout, a nic nenasvědčuje tomu, že by tomu mělo být do budoucna jinak. Kromě toho nelze očekávat, že by v dohledné době byla hesla zcela nahrazena nějakou jinou autentizační metodou. Musíme se tedy chtě nechtě smířit s tím, že hesla se budou i nadále v rámci autentizace používat a usilovat o minimalizaci rizik s tím spojených.

Štítky: , , ,
celý článek

Heslo do vašeho mobilního zařízení prolomíme za pár minut

Gesto a PIN do mobilních zařízení je možné prolomit do několika málo minut. Jedinou skutečnou ochranou je dlouhé komplexní heslo.

V polovině minulého roku jsem psal o tom, že firma Elcomsoft vyvinula nástroj, který dokáže prolomit heslo do iOS za několik málo minut. Od té doby se na trhu objevilo dalších několik nástrojů, které dělají v podstatě totéž. Např. firma Micro Systemation tvrdí, že dokáže prolomit heslo prakticky do jakéhokoliv mobilního zařízení, jak by také ne, když polovina pracovníků této firmy nedělá nic jiného, než že hledá zranitelnosti v telefonech.

Štítky: , ,
celý článek

Autentizace: partial password 2

Organizace, které dříve používaly autentizaci založenou na zadávání jen vybraných znaků z hesla, tento koncept z mnoha důvodů pomalu opouštějí a přecházejí na skutečnou vícefaktorovou autentizaci.

Vzhledem k tomu, že systém, který tuto formu autentizace používá, musí být schopen ověřit, zda uživatel zadal na jeho výzvu ty správné znaky, tak v databázi nemůže být heslo uživatele uloženo jako hash, neboť z hashe není možné zpětně zjistit původní hodnotu a tudíž by systém nemohl ověřit, zda znaky zadané uživatelem byly ty správné.

Štítky: ,
celý článek

Autentizace: partial password

Myšlenka autentizovat se nikoliv zadáním celého hesla, ale jen pomocí několika málo znaků z hesla, není nová.

Způsob jak taková autentizace probíhá, je velice jednoduchý. Uživatel se nejprve identifikuje a systém ho poté vyzve, aby zadal znaky, které se nacházejí na vybraných pozicích jeho hesla. Počet znaků, které musí uživatel zadat, je obvykle daný, leč pozice jsou generovány náhodně.

Štítky: , ,
celý článek

Lámání hesel: on-line útok

V zásadě můžeme rozlišit dva typy útoků. V prvním případě je cílem útočníka uhádnutí hesla ke konkrétnímu účtu a ve druhém uhádnutí hesla k jakémukoliv účtu.

Ač útočník daleko spíše získá přihlašovací údaje k vybrané službě pomocí malwaru, phishingu nebo prostým zkopírováním celé DB hesel, nebude na škodu, když si popíšeme, jakým způsobem by mohlo probíhat hádání hesel v reálném čase přímo proti autentizační autoritě.

Štítky: ,
celý článek

Distribuované lámání hesel pomocí JavaScriptu

V článku „Lámání hesel“ jsme si uvedli, že lámání hesel lze velice dobře paralelizovat. Na nedávné Black Hat konferenci v Abu Dhabi bylo prezentováno řešení, které přesně tohle umožňuje.

Na první pohled nic zajímavého, protože nástroje, které umožňují distribuované lámání hesel, jsou k dispozici již poměrně dlouhou dobu. Jenže v tomto případě se nemusí na počítač, který má být k lámání hesel použit, nic instalovat. O vše se postará obyčejný JavaScript.

Štítky: ,
celý článek

Lámání hesel: rainbow tables

Přečtěte si, jak prolomit silné 14 znakové heslo během několika málo sekund za použití běžného vybavení a přístupu na internet.

Scénář útoku je poměrně snadný a útočníkovi stačí v mnoha případech k úspěšnému proniknutí do systému maximálně několik málo minut a nepotřebuje k tomu ani žádné drahé vybavení a hluboké znalosti. Vystačí si s obyčejným smartphonem, který má konektivitu do internetu a bootovatelným USB flash diskem nebo CD s Linuxem, ze kterého zavede systém, zkopíruje soubor s hesly, připojí se na internet a hash k vybranému účtu předloží službě, která mu během několika sekund zobrazí správné heslo.

Štítky: ,
celý článek

Lámání hesel

V tomto příspěvku se dozvíte, jak délka hesla a množina znaků ovlivňuje dobu potřebnou k prolomení hesla a jak tuto dobu výrazně zkrátit.

Útočník má v zásadě několik možností, jak přihlašovací údaje uživatele získat, a zpravidla volí tu nejjednodušší, nicméně my se zde budeme zabývat především útokem hrubou silou, protože u všech ostatních útoků je víceméně jedno, jak dlouhé a komplexní ono sdílené tajemství vlastně je. Je s podivem, že většina studií, které se zabývají odhadem doby potřebné na prolomení hesla, mylně předpokládá, že útočník ví, jaká dlouhé a komplexní dané sdílené tajemství vlastně je.

Štítky: ,
celý článek