Publikováno: 22. 08. 2018, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, zobrazeno: 2 941x
V jednom minulém příspěvku jsem popisoval, jak vytvořit bezpečné heslo a bezpečnou passphrase a kladl si otázku, zda je bezpečnější heslo nebo passphrase.
Abychom vůbec mohli porovnat odolnost klasického hesla o určité délce (L) a komplexitě (C) a passphrase vytvořené z určitého počtu slov (L) a nacházejících se ve slovníku o určité velikosti (C), tak musíme nejprve vyjádřit jejich entropii (En) v bitech. Tu spočteme pomocí následujícího vzorce:
Publikováno: 17. 12. 2012, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, zobrazeno: 13 651x
Na konferenci Password^12, která se konala 3. prosince 2012, předvedl Jeremy M. Gosney svůj cluster, který dokáže prolomit 9znakové komplexní heslo do Windows během 10 dnů.
Jeremy svůj cluster postavil z 5 serverů, které dohromady obsahují 18 výkonných grafických karet disponujících celkem 25 GPU. Na nich pak spustil multiplatformní program HashCat, jenž je volně ke stažení, a který může být běžet na více strojích zapojených v clusteru, a plně využít síly GPU grafických karet k lámání hashů.
Publikováno: 24. 06. 2012, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, aktualizováno: 04. 12. 2012, zobrazeno: 5 527x
V poslední době došlo k několika velkým únikům hashů hesel a k jejich následnému prolomení. Proč k tomu došlo? Dalo se tomu zabránit? Na tyto a další otázky se pokouší odpovědět tento rozhovor.
Většina provozovatelů webů buď spoléhá na to, že uživatelé budou používat bezpečná hesla a nebo jim je to úplně jedno. Pravda je taková, že uživatelé již po několik desítek let používají slabá hesla, která lze snadno uhádnout, a nic nenasvědčuje tomu, že by tomu mělo být do budoucna jinak. Kromě toho nelze očekávat, že by v dohledné době byla hesla zcela nahrazena nějakou jinou autentizační metodou. Musíme se tedy chtě nechtě smířit s tím, že hesla se budou i nadále v rámci autentizace používat a usilovat o minimalizaci rizik s tím spojených.
Publikováno: 03. 04. 2012, v rubrice:
Bezpečnost,
Zprávičky, autor:
Miroslav Čermák
, zobrazeno: 14 405x
Gesto a PIN do mobilních zařízení je možné prolomit do několika málo minut. Jedinou skutečnou ochranou je dlouhé komplexní heslo.
V polovině minulého roku jsem psal o tom, že firma Elcomsoft vyvinula nástroj, který dokáže prolomit heslo do iOS za několik málo minut. Od té doby se na trhu objevilo dalších několik nástrojů, které dělají v podstatě totéž. Např. firma Micro Systemation tvrdí, že dokáže prolomit heslo prakticky do jakéhokoliv mobilního zařízení, jak by také ne, když polovina pracovníků této firmy nedělá nic jiného, než že hledá zranitelnosti v telefonech.
Publikováno: 13. 07. 2011, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, zobrazeno: 4 095x
Organizace, které dříve používaly autentizaci založenou na zadávání jen vybraných znaků z hesla, tento koncept z mnoha důvodů pomalu opouštějí a přecházejí na skutečnou vícefaktorovou autentizaci.
Vzhledem k tomu, že systém, který tuto formu autentizace používá, musí být schopen ověřit, zda uživatel zadal na jeho výzvu ty správné znaky, tak v databázi nemůže být heslo uživatele uloženo jako hash, neboť z hashe není možné zpětně zjistit původní hodnotu a tudíž by systém nemohl ověřit, zda znaky zadané uživatelem byly ty správné.
Publikováno: 29. 01. 2011, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, aktualizováno: 13. 07. 2011, zobrazeno: 10 297x
, 4 komentáře
Myšlenka autentizovat se nikoliv zadáním celého hesla, ale jen pomocí několika málo znaků z hesla, není nová.
Způsob jak taková autentizace probíhá, je velice jednoduchý. Uživatel se nejprve identifikuje a systém ho poté vyzve, aby zadal znaky, které se nacházejí na vybraných pozicích jeho hesla. Počet znaků, které musí uživatel zadat, je obvykle daný, leč pozice jsou generovány náhodně.
Publikováno: 09. 01. 2011, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, zobrazeno: 11 352x
V zásadě můžeme rozlišit dva typy útoků. V prvním případě je cílem útočníka uhádnutí hesla ke konkrétnímu účtu a ve druhém uhádnutí hesla k jakémukoliv účtu.
Ač útočník daleko spíše získá přihlašovací údaje k vybrané službě pomocí malwaru, phishingu nebo prostým zkopírováním celé DB hesel, nebude na škodu, když si popíšeme, jakým způsobem by mohlo probíhat hádání hesel v reálném čase přímo proti autentizační autoritě.
Publikováno: 19. 12. 2010, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, zobrazeno: 8 456x
V článku „Lámání hesel“ jsme si uvedli, že lámání hesel lze velice dobře paralelizovat. Na nedávné Black Hat konferenci v Abu Dhabi bylo prezentováno řešení, které přesně tohle umožňuje.
Na první pohled nic zajímavého, protože nástroje, které umožňují distribuované lámání hesel, jsou k dispozici již poměrně dlouhou dobu. Jenže v tomto případě se nemusí na počítač, který má být k lámání hesel použit, nic instalovat. O vše se postará obyčejný JavaScript.
Publikováno: 21. 11. 2010, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, zobrazeno: 17 336x
Přečtěte si, jak prolomit silné 14 znakové heslo během několika málo sekund za použití běžného vybavení a přístupu na internet.
Scénář útoku je poměrně snadný a útočníkovi stačí v mnoha případech k úspěšnému proniknutí do systému maximálně několik málo minut a nepotřebuje k tomu ani žádné drahé vybavení a hluboké znalosti. Vystačí si s obyčejným smartphonem, který má konektivitu do internetu a bootovatelným USB flash diskem nebo CD s Linuxem, ze kterého zavede systém, zkopíruje soubor s hesly, připojí se na internet a hash k vybranému účtu předloží službě, která mu během několika sekund zobrazí správné heslo.
Publikováno: 15. 11. 2010, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, aktualizováno: 09. 12. 2012, zobrazeno: 45 018x
, 1 komentář
V tomto příspěvku se dozvíte, jak délka hesla a množina znaků ovlivňuje dobu potřebnou k prolomení hesla a jak tuto dobu výrazně zkrátit.
Útočník má v zásadě několik možností, jak přihlašovací údaje uživatele získat, a zpravidla volí tu nejjednodušší, nicméně my se zde budeme zabývat především útokem hrubou silou, protože u všech ostatních útoků je víceméně jedno, jak dlouhé a komplexní ono sdílené tajemství vlastně je. Je s podivem, že většina studií, které se zabývají odhadem doby potřebné na prolomení hesla, mylně předpokládá, že útočník ví, jaká dlouhé a komplexní dané sdílené tajemství vlastně je.