mboost-dp1
bcrypt
Som jeg læser det er det ikke fordi man har fundet reelle sikkerhedshuller ved bcrypt. Det er alene et spørgsmål om at skifte til mere moderne algoritmer.
bcrypt har gjort det ganske godt de 25 år må man sige. Husk på hvad Windows havde kørende for 25 år siden mht. password hashing: https://en.wikipedia.org/wiki/LAN_Manager#Password... ;)
bcrypt har gjort det ganske godt de 25 år må man sige. Husk på hvad Windows havde kørende for 25 år siden mht. password hashing: https://en.wikipedia.org/wiki/LAN_Manager#Password... ;)
larsp (2) skrev:
bcrypt har gjort det ganske godt de 25 år må man sige.
Absolut.
larsp (2) skrev:
Husk på hvad Windows havde kørende for 25 år siden mht. password hashing: https://en.wikipedia.org/wiki/LAN_Manager#Password... ;)
...
OS family OS/2
...
Initial release 1987; 36 years ago
Final release 2.2a / 1994; 29 years ago
...
:-)
#3 Ja, det kom fra OS/2, men Windows var med på vognen og blev ved med at gemme de absurd usikre LM password hashes et godt stykke tid på grund af bagudkompatibilitet.
Fra wikien: "Starting with Windows Vista and Windows Server 2008, Microsoft disabled the LM hash by default" og "the LM hash has several weaknesses in its design.[7] This makes such hashes crackable in a matter of seconds using rainbow tables, or in a few minutes using brute force"
Dvs. man kan snuppe login credentials fra en Windows XP og tilbage ganske nemt, hvis systemet er sat til default settings. Microsoft stoppede support for XP april 2014, ca. 9 år siden ...
Fra wikien: "Starting with Windows Vista and Windows Server 2008, Microsoft disabled the LM hash by default" og "the LM hash has several weaknesses in its design.[7] This makes such hashes crackable in a matter of seconds using rainbow tables, or in a few minutes using brute force"
Dvs. man kan snuppe login credentials fra en Windows XP og tilbage ganske nemt, hvis systemet er sat til default settings. Microsoft stoppede support for XP april 2014, ca. 9 år siden ...
... og LM hashes blev i sin tid sendt over netværket uden salt. Det er hårrejsende læsning at læse https://en.wikipedia.org/wiki/LAN_Manager#Security...
#4 og #5
MS begyndte at anbefale NTLM i 1993. Men ja - LM blev supporteret i mange år derefter af kompabilitets grunde.
LM var en håbløs protokol set med 2022 øjne. Men sikkerhed var altså noget anderledes tilbage i 80'erne.
De fleste Unix systemer havde password hash i /etc/passwd som kunne læses af alle (indtil /etc/shadow blev almindelig).
Var du studerende på et dansk universitet kunne du gå hen til en terminal og connecte til alle servere på alle universiteter fordi netværket var bridget ikke routet og der var ingen firewalls.
Personligt oplevede jeg at en instructor som var fagligt særdeles dygtig valgte at give hans studerende deres IT adgang ved at hænge en liste med navn + username + password op på en offentlig opslagstavle.
Ikke mange år tidligere (1977) havde Richard Stallman argumneteret for at det var umoralsk at have password på brugernavne.
Så selvom LM sikkerhed er toast på minutter via Rainbow tables, så er det altså lidt at vurdere fortiden på nutidens præmisser (og Rainbow tables blev først opfundet i 00'erne).
MS begyndte at anbefale NTLM i 1993. Men ja - LM blev supporteret i mange år derefter af kompabilitets grunde.
LM var en håbløs protokol set med 2022 øjne. Men sikkerhed var altså noget anderledes tilbage i 80'erne.
De fleste Unix systemer havde password hash i /etc/passwd som kunne læses af alle (indtil /etc/shadow blev almindelig).
Var du studerende på et dansk universitet kunne du gå hen til en terminal og connecte til alle servere på alle universiteter fordi netværket var bridget ikke routet og der var ingen firewalls.
Personligt oplevede jeg at en instructor som var fagligt særdeles dygtig valgte at give hans studerende deres IT adgang ved at hænge en liste med navn + username + password op på en offentlig opslagstavle.
Ikke mange år tidligere (1977) havde Richard Stallman argumneteret for at det var umoralsk at have password på brugernavne.
Så selvom LM sikkerhed er toast på minutter via Rainbow tables, så er det altså lidt at vurdere fortiden på nutidens præmisser (og Rainbow tables blev først opfundet i 00'erne).
#6 Ja, man må respektere at Lan manager er fra en anden tid.
Problemer er, IMO, at Windows blev ved med at lave disse LM hashes som default, i mange år. Tænk over det, hvis man finder en skrottet harddisk fra en computer der kørte XP eller tidligere, er der en god chance for at man kan ekstrahere brugerens navn og password, og hvem ved, måske bruger denne person stadig samme credentials ...
Ikke mange år tidligere (1977) havde Richard Stallman argumneteret for at det var umoralsk at have password på brugernavne.Haha, den havde jeg ikke hørt før.
Problemer er, IMO, at Windows blev ved med at lave disse LM hashes som default, i mange år. Tænk over det, hvis man finder en skrottet harddisk fra en computer der kørte XP eller tidligere, er der en god chance for at man kan ekstrahere brugerens navn og password, og hvem ved, måske bruger denne person stadig samme credentials ...
Jo tak, det var et billigt grin ;) https://groups.google.com/g/sci.crypt/c/PmxaYcslek...arne_v (7) skrev:#6
Dem der vil have sig et billigt grin kan også google wordperfect 4.2 og 5.0 "encryption".
Kunne det tænkes at være pga. forbud mod hård kryptering i den tid?
larsp (9) skrev:Jo tak, det var et billigt grin ;) https://groups.google.com/g/sci.crypt/c/PmxaYcslek...arne_v (7) skrev:#6
Dem der vil have sig et billigt grin kan også google wordperfect 4.2 og 5.0 "encryption".
Kunne det tænkes at være pga. forbud mod hård kryptering i den tid?
De amerikanske eksport regler betragtede indtil 1999 eksport af symmetrisk kryptering >40 bit og assymetrisk kryptering >512 bit som våbeneksport med dertil hørende restriktioner. I 1999 blev det øget til 56 og 1024. Og i 2000 blev de skrottet.
Men jeg mener godt at WP kunne have lavet noget bedre end de gjorde indenfor de regler.
larsp (8) skrev:Ikke mange år tidligere (1977) havde Richard Stallman argumneteret for at det var umoralsk at have password på brugernavne.Haha, den havde jeg ikke hørt før.
https://en.wikipedia.org/wiki/Richard_Stallman#Har...
He would become an ardent critic of restricted computer access in the lab, which at that time was funded primarily by the Defense Advanced Research Projects Agency (DARPA). When MIT's Laboratory for Computer Science (LCS) installed a password control system in 1977, Stallman found a way to decrypt the passwords and sent users messages containing their decoded password, with a suggestion to change it to the empty string (that is, no password) instead, to re-enable anonymous access to the systems. Around 20 percent of the users followed his advice at the time, although passwords ultimately prevailed. Stallman boasted of the success of his campaign for many years afterward.[
Historien er i sig selv ret ligegyldig.
Men jeg synes at den giver et godt indtryk af at verden var ret anderledes dengang med hensyn til computer sikkerhed.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Tagwall
Gå til bund