mboost-dp1
Flickr - stefano girardi
Mr_Mo (13) skrev:Det er nok mere relevant at lave en liste med årets 25 dårligste hjemmesider der tillader adgangskoder på 6 tal
Jeg vil gerne nominere Sydbanks tyske netbank, som værende den værste jeg har stødt på. Bemærk at jeg skrev 'netbank', altså et sted hvor man kan styre alt muligt underligt med ens penge, gerne et sted der skulle være masser af sikkerhed
For at kunne logge ind på netbanken kræver det 2 informationer: Brugerid og kode
Brugerid er 5 CIFRE, kodeordet skulle være mellem 4 og 6 CIFRE
Ingen bogstaver, ingen tegn, ingen mellerum... kun udelukkende TAL
Dejligt at banken sætter sikkerhed højt på sin prioritetsliste
Adagio (51) skrev:For at kunne logge ind på netbanken kræver det 2 informationer: Brugerid og kode
Brugerid er 5 CIFRE, kodeordet skulle være mellem 4 og 6 CIFRE
Ingen bogstaver, ingen tegn, ingen mellerum... kun udelukkende TAL
Så længe man ikke kan brute force, er problemet nu ikke så slemt.
myplacedk (53) skrev:Så længe man ikke kan brute force, er problemet nu ikke så slemt
Jeg mener ikke at siden har nogen limit på, hvor mange gange man må skrive forkert. Jeg menes at jeg selv har prøvet at skrive den forkerte kodeord 5+ gange i træk uden at den har lukket mig ude fra at kunne prøve igen. Nu er det dog nogle år siden jeg sidst brugte det, så kan være at de enten har løst det eller at det er mig der husker forkert
Og lige en ting mere... der er ikke gemt noget på computeren, så har man bruger+kode kan man logge ind overalt
Det sagde den også til mig. Det vil sige at vi bruger det samme password. Så nu ved jeg at dit password er 6FsdK9W6ldBkcJ1MpmR7gUAdUeudBklC, ha! Og før nogen er så snedige at tro at de nu kender mit password, så vil jeg bare sige at så dum er jeg heller ikke. Jeg har allerede ændret mit password til sxuXt2jHc6E2O83mBkwuvlLlO7upxjTq.SlettetBruger (22) skrev:Ifølge det link har jeg det bedste password i verdenen!
Jeg kiggede på sourcen for at se hvad de checker. Udfra det indtastede gætter de på hvilken mængde af tegn du har brugt da du valgte dit password. Det antages så at du har valgt hvert enkelt tegn uniformt fra den mængde.Jonas_ (26) skrev:20 1'taller derimod er derimod et STRONG password
I dit eksempel gætter de på at hvert tegn er valgt tilfældigt fra mængden 0-9 og det blot er et tilfælde at du fik samme tegn alle 20 gange.
Med 3,322 bits entropi per tegn og 20 tegn i alt har du 66 bits entropi. Deres klassificering siger så:
0-56 Weak
56-64 Medium
64-128 Strong
128- Best
Det kommer an på omstændighederne. I nogle tilfælde er offline angreb umulige at beskytte sig imod. Hvis f.eks. vi snakker om krypterede data beskyttet med et password er offline angreb altid en mulighed. Da personen der vil forsøge at bryde det kan anvende sin egen modificerede udgave af softwaren er der ingen grund til at genere den legitime bruger med ligegyldige "sikkerhedsforanstaltninger" der reducerer antallet af passwords, der kan forsøges.syska (28) skrev:Hvis du har et system der tillader at du laver 1000000 forsøg ... så vil jeg mene det er broken by design.
Hvis der er tale om et password til en online service kan der naturligvis sættes begrænsninger på hvor mange passwords der afprøves. Men man skal være meget omhyggelig med sit design for at sikre at det ikke kommer til at introducere en mulighed for DoS angreb.
Begrænsninger per bruger er nemme at udnytte til et DoS angreb imod enkelte brugere. Og de er også nemme at omgå hvis man vil forsøge at skaffe sig uautoriseret adgang. Man prøver blot de 10 mest almindelige passwords (eller hvor mange systemet nu vil tillade) med hvert enkelt brugernavn. På den måde omgår man begrænsningen og det er alligevel den mest effektive metode, selv hvis der ikke havde været begrænsninger.
Begrænsninger per IP adresse er smartere. Dog bliver man med IPv6 nødt til at lave begrænsninger per netblok, da nogle personer vil have en stor netblok til rådighed og kan forsøge uden at genbruge samme IP adresse mere end en enkelt gang. Men samtidigt kan der være situationer hvor mange legitime bruger er i samme netblok som en angriber. Så man er nødt til at anvende et hierarki af forskellige begrænsninger.
En brugbar metode kunne være:
per IP maks 10 forkerte passwords i timen.
Per /64 netværk maks 20 forkerte passwords i timen for hver type adresse (udledt fra MAC, privacy extension, etc.)
Per /64 netværk maks 50 forkerte passwords i timen.
Per /60 netværk maks 100 forkerte passwords i timen.
Per /56 netværk maks 200 forkerte passwords i timen.
Per /52 netværk maks 400 forkerte passwords i timen.
Per /48 netværk maks 800 forkerte passwords i timen.
Per /40 netværk maks 1600 forkerte passwords i timen.
Per /32 netværk maks 3200 forkerte passwords i timen.
Hvad angår krypteringspasswords kan man lave interessante metoder der kombinerer offline og online for at forhindre brute force. Ulempen er at man ikke længere kan dekryptere sine data offline. Det vil sige at man skal kunne komme online uden at anvende sit password.
En mulig fremgangsmåde er at have en server med en asymmetrisk nøgle. En del af de data som skal bruges på klienten for at dekryptere data krypteres med serverens offentlige nøgle. For at dekryptere skal man have serveren til at dekryptere de pågældende data igen. Uden serverens hjælp til dekrypteringen vil man aldrig kunne finde ud af om det password man prøvede var korrekt. På den måde kan serveren lave ratelimit af dine forsøg.
For at serveren ikke får adgang til hemmelige data, og for at personer som måtte lytte med på kommunikationen ikke finder ud af hvad der dekrypteres kan man anvende blinding. Det vil f.eks. kunne bruges med RSA kryptering.
fail2ban?molle (37) skrev:En af de servere jeg vedligeholder blev jeg træt af script kiddies prøvede at gætte password på SSH forbindelsen, så jeg tilføjede en lille udvidelse, som sender deres ip adresser i et sort hul i minimum 24 timer, hvis man skriver en forkert kombination af brugernavn/password 3 gange inden for 15 min.
Og du er endnu ikke kommet til at blokere for dig selv?
Personligt har jeg valgt en anden fremgangsmåde. Jeg har helt slået passwords fra på mine ssh servere. Der tillades kun autentifikation med nøgler.
Nej. Hvis man afprøver alle passwords af længde op til f.eks. 125 tegn som udelukkende består af identiske tegn er det stadig kun 32000 passwords man skal afprøve.Mr_Mo (38) skrev:det er svært for en computer at gætte sig til 20 1'taller
Phantom_X (45) skrev:Ved ikke hvor mange gange jeg har skulle resette mine forældres password fordi de husker passwords som en skål budding.
Det var lig'godt en speciel sammenligning..
Anywho, har vidst efterhånden fået forklaret familien at de skal lave en sætning som de kan huske, og så sørge for at blande tal ind i det. Eksempel:
Vi er en familie på 2 voksne og 3 børn, der bor i Fredericia på Dronningensgade 13.
=
veefp2vo3bdbiFpD13
alternativt
veefp2v&3b,dbiFpD13.
Rates som Strong af MS (og det kan vi stole på....) og nem at huske.
Jeg smækkede lige en hurtig stump javascript kode sammen, som kan vurdere styrken af et password. Som med alle den slags tests er den ikke perfekt, men jeg vil umiddelbart mene at den gør det rimelig godt.
http://netiter.dk/kodeord
Det er et spørgsmål om at afprøve passwords startende med de mest sandsynlige og derefter arbejde sig gennem mindre og mindre sandsynlige passwords indtil man finder det rigtige.
Et password der udelukkende består af ens tegn vil stå ret tidligt på sådan en liste.
http://netiter.dk/kodeord
Nej, ligesom en computer ikke skal kende dit password for at gætte sig frem.DrHouseDK (57) skrev:Det kræver computeren ved det udelukkende er identiske tegn.
Det er et spørgsmål om at afprøve passwords startende med de mest sandsynlige og derefter arbejde sig gennem mindre og mindre sandsynlige passwords indtil man finder det rigtige.
Et password der udelukkende består af ens tegn vil stå ret tidligt på sådan en liste.
DrHouseDK (60) skrev:Ret tidligt, ja, men setuppet kræver at det står FØRST på listen.
Well, det program jeg før har brugt til at bruteforce med startede med AAAAAAAA, BBBBBBBB osv.
Så ville det ikke tage ret mange sekunder før 1111111 blev fundet ;)
myplacedk (42) skrev:Hvis det kræver op til 1.000.000 forsøg at gætte en 6-cifret adgangskode når man har adgang til databasen, så forudsætter det at databasen indeholder et hash af kodeordet + et salt som angriberen kender.
Forkert. Listen som Team Gilmore Girls fik fat i havde ikke et salt, så det forudsætter nødvendigvis ikke et salt :P Men ellers har du fuldstændig ret :)
Thoroughbreed (61) skrev:Well, det program jeg før har brugt til at bruteforce med startede med AAAAAAAA, BBBBBBBB osv.
Så ville det ikke tage ret mange sekunder før 1111111 blev fundet ;)
Gik den så videre til AAAAAAAAA efter 99999999? Eller gik den videre til fx BAAAAAAAA? For så ville det nok tage LANG tid inden 20 1'taller blev fundet :)
kasperd (56) skrev:Nej. Hvis man afprøver alle passwords af længde op til f.eks. 125 tegn som udelukkende består af identiske tegn er det stadig kun 32000 passwords man skal afprøve.
Jeg nævner at koder som står i en hackers "ordbog" ikke er sikre. Det indbefatter så selvfølgelig koder der ikke er tilfældige, bl.a. koder der består af repititive tegn. Det citat er hævet lidt ud af kontekst.
Så er en kode som 12345678910111213141 ifølge dit rationale jo meget sikker, fordi den ikke består af repetitive tegn. Denne består også af 20 tal, men igen ikke noget tilfældigt kode (Google giver omkring 50 tusind hits). Så konklusionen må være, at alle ikke tilfældige koder, baseret på en mønster som en hacker kan gætte sig til, fx qwertyuiopåasdfghjkl (også 20 tegn), er usikre. Ikke på baggrund af din rationale med at det kun er 32.000 koder der skal afprøves, men på baggrund af at den er nem at gætte. Jeg skrev netop i det post du hiver en citat udenfor kontekst ud fra, at microsofts pw-checker ikke tager hensyn til dette. Hvilket forøvrigt dit stykke javascript heller ikke gør, således er qwer... en acceptabel kode.
mfriis (7) skrev:8. letmein
stammer fra de sites som tilbyder "dele accounts" for at se indhold der kræver en bruger.
Aner ikke om de stadig findes men kode og brugernavn var typisk letmein. Resten har jeg svært ved at forsvare :)
xkcd lavede i øvrigt en meget interresant comic om emnet: http://xkcd.com/936/
Det er ganske interressant at vi netop i højere grad kræver relativt korte men meget avancerede passwords. Der er vel næppe nogen idag der bryder passwords vhja. et dictionary.
correcthorsebatterystaple er lige blevet min kodeord!
Mr_Mo (62) skrev:Thoroughbreed (61) skrev:Well, det program jeg før har brugt til at bruteforce med startede med AAAAAAAA, BBBBBBBB osv.
Så ville det ikke tage ret mange sekunder før 1111111 blev fundet ;)
Gik den så videre til AAAAAAAAA efter 99999999? Eller gik den videre til fx BAAAAAAAA? For så ville det nok tage LANG tid inden 20 1'taller blev fundet :)
Du kunne vælge hvor mange tegn du regnede med at koden var - lad os sige jeg valgte 5-10 tegn
AAAAA-99999 > AAAAAA-999999 > osv AAAAAAAAAA-9999999999 > AAAAB ... you get the picture ;)
Dog er det også relativt nemt at gætte sig til hvor lang en kode er hvis man skal bruteforce NTLM
Mr_Mo (62) skrev:myplacedk (42) skrev:Hvis det kræver op til 1.000.000 forsøg at gætte en 6-cifret adgangskode når man har adgang til databasen, så forudsætter det at databasen indeholder et hash af kodeordet + et salt som angriberen kender.
Forkert. Listen som Team Gilmore Girls fik fat i havde ikke et salt, så det forudsætter nødvendigvis ikke et salt :P Men ellers har du fuldstændig ret :)
Hvis det ikke er saltet kræver det altså som sagt ikke 1.000.000 gæt. Man kan bare slå det op i en rainbow table. ;-)
(Forudsat at det er en kendt hash-algoritme, jeg gætter på at det var MD5.)
DrHouseDK (48) skrev:Vi er ikke franskmænd, vel? Næ du, vi bruger også "password" :-)
Crap, franskmand uden at vide det... Kan sku' knap nok huske mit franske ellers :-P
Spøg til side, bruger faktisk kodeord, men kun som placeholder når firmaets system forlanger jeg skal skifte password hver 3. måned :-P
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund