Odpowiedz 
 
Ocena wątku:
  • 0 Głosów - 0 Średnio
  • 1
  • 2
  • 3
  • 4
  • 5
Hasło - bezpieczeństwo
24.02.2010, 21:34
Post: #1
Hasło - bezpieczeństwo
Jeszcze jedno pytanie od kretyna - czy hasło złożone z powtarzającej się sekwencji znaków np. zIl0%azIl0%azIl0%azIl0%a (czyli 4x zIl0%a) jest mniej bezpieczne od 9Ka@%hIl)%kSj<LsIwYsM&#$4so czyli innego dwudziestoczteroznakowego hasła? Bo wydaje mi się, że odporność na brute force jest taka sama, metoda słownikowa odpada, ale co z innymi? (są takie? nie wiem ;D)
Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
25.02.2010, 12:53
Post: #2
RE: Hasło - bezpieczeństwo
(24.02.2010 21:34)Pan Mors napisał(a):  Jeszcze jedno pytanie od kretyna - czy hasło złożone z powtarzającej się sekwencji znaków np. zIl0%azIl0%azIl0%azIl0%a (czyli 4x zIl0%a) jest mniej bezpieczne od 9Ka@%hIl)%kSj<LsIwYsM&#$4so czyli innego dwudziestoczteroznakowego hasła? Bo wydaje mi się, że odporność na brute force jest taka sama, metoda słownikowa odpada, ale co z innymi? (są takie? nie wiem ;D)

Jeśli chodzi o bruteforce to oba hasła wyglądają na bardzo silne. No chyba, że atakujący ma informację, że stosujesz powtarzające się sekwencje 4 znaków Big Grin

O wiele ważniejsze jest jak przechowujesz to hasło, jak i gdzie je stosujesz. Czy jesteś w stanie zapamiętać je? Czy jesteś w stanie zapamiętać każde z takich "losowych" 24 znakowych haseł? Jeśli je przechowujesz to w jaki sposób? Czy Twój komputer nie jest zawiruszony lub kontrolowany w inny sposób? Czy program, do którego jest nie ma innych błędów? Czy stosujesz zasadę jedno hasło jedna aplikacja?

Np. w aplikacji sieciowej: Czy w momencie wysyłania go połącznie używa wiarygodnego szyfrowania? Jak hasło jest przechowywane na serwerze: czy jest przechowywane w postaci jawnej, czy hasha, jeśli tak to jakiego i czy bezpiecznie generowanego? Czy aplikacja usuwa hasła z logów? Czy backupy przechowywane są w bezpieczny sposób? Czy osoby, które mają dostęp do tych informacji zrobiły wystarczająco dużo by się zabezpieczyć te dane lub nie są nielojane/przecwelone? Czy w końcu aplikacja nie ma innych błędów: nie jest podatna na podkradanie sesji, nie ma błędów sql-injection, XSS, skopanego modelu praw dostępu, odzyskiwania hasła, etc...

W przypadku aplikacji sieciowych to wszystko w większości przypadków niewiadome.

"Piove, governo ladro"
Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
25.02.2010, 17:18
Post: #3
RE: Hasło - bezpieczeństwo
(25.02.2010 12:53)nuri napisał(a):  Jeśli chodzi o bruteforce to oba hasła wyglądają na bardzo silne. No chyba, że atakujący ma informację, że stosujesz powtarzające się sekwencje 4 znaków Big Grin

Ale czy są tak samo silne?
Zakładamy, że atakujący niczego nie wie.
Co do zapamiętania, to jestem w stanie zapamiętać do kilkuset znaków, pod warunkiem, że losowy ciąg stworzę ja. Bo dla mnie (i wyłącznie dla mnie) losowy on nie będzie.
I dzięki za tamte porady, aczkolwiek chodziło mi głównie o to, czy przykładowo 4x5 jest tak samo bezpieczne jak 20.
Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
25.02.2010, 18:34
Post: #4
RE: Hasło - bezpieczeństwo
Myślę, że łamacze haseł łączą metody słownikowe i brute force, bo hasła to często kombinacja słów + cyfry. Więc pewnie jest szansa, że program szukający hasła będzie miał ustawione szukanie powtarzających się sekwencji zanim zacznie próbować czystego brute force.
Odwiedź stronę użytkownika Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
25.02.2010, 23:20
Post: #5
RE: Hasło - bezpieczeństwo
(25.02.2010 17:18)Pan Mors napisał(a):  Ale czy są tak samo silne?
...
Zakładamy, że atakujący niczego nie wie.
...
I dzięki za tamte porady, aczkolwiek chodziło mi głównie o to, czy przykładowo 4x5 jest tak samo bezpieczne jak 20.

To zależy i są conajmniej dwa aspekty. Jeden poruszył Madlock - jak jest generowana lista haseł do ataku bruteforce: jaki algorytm i zestaw znaków został użyty.

Dwa jak jest przechowywane i porównywane - przeważnie przechowuje się w postaci niejawnej i wtedy dużo zależy od użytej funkcji i jej właściwości prawdopodobieństwa kolizji.

No oko - to umarł chłop w szpitalu - wersja dwa jest lepsza ;-)

"Piove, governo ladro"
Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
26.02.2010, 18:18
Post: #6
RE: Hasło - bezpieczeństwo
Nuri dokładnie odpowiedział a ja dorzucę moje trzy grosze.
Wszystko zależy od tego gdzie takie hasło będzie używane.

Teoretycznie siła (ściślej: entropia) hasła w języku naturalnym wynosi od 0.8 do 2 bitów na znak. Im dłuższe hasło tym jego siła przypadająca na znak jest mniejsza. A dla regularnie powtarzających się zestawów znaków siła hasła spada.
Co oznacza, że hasło złożone z n tych samych wyrazów nie n-razy silniejsze.
Dla porównania hasło wygenerowane z generatora liczb losowych ma siłę 6 bitów na znak dla alfabetu składającego się z 64 znaków.

Jednak w praktyce wszystko zależy od tego gdzie takie hasło zostanie użyte i jaką wiedzą na jego temat dysponuje atakujący. Należy też rozróżnić atak typu brute force na samo hasło od ataku brute force na szyfr, jednokierunkową funkcję skrótu lub protokół.

Przykład:
hasło_1: popielniczkapopielniczka
- jest długie (24 znaki), jednak jego siła nie jest większa niż 24 bity (oczywiście to na to oko na które chłop w szpitalu umarł Wink – ale wyjątkowo dla tego przykładu przyjmijmy to za prawdę - moje oko daje mu 12 bitów)
hasło_2: V5FtLG@9
- jest krótkie (8 znaków), jednak zostało wygenerowane przez przyzwoity generator liczb losowych stąd jego siła wynosi:
6[bitów/znak] x 8[znaków] = 48 bitów, czyli jest przynajmniej 2 razy mocniejsze niż hasło_1

Gdy użyjemy tych haseł w programie TrueCrypt to w przypadku ataku brute force na klucz (który został wyliczony z hasła) prawdopodobieństwo złamania szyfru dla obu będzie takie same. Jednak w przypadku ataku słownikowego (o ile atakujący korzysta z zestawu słów języka polskiego) hasło_1 zostanie prędzej odkryte. Wprawdzie autorzy TC postarali się taki atak utrudnić wielokrotnie przekształcając hasło wraz z modyfikatorem klucza (tzw. salt) przez jednokierunkową funkcję i mieszając go na koniec z liczbą losową co powoduje duży nakład obliczeń niezbędny do poznania hasła, jednak taki atak jest możliwy. Jest drogi ale możliwy.

Gdy użyjemy tych haseł tam gdzie atakujący ma dostęp do ich funkcji skrótu a dysponuje zestawem wszystkich funkcji skrótu dla haseł o długościach do 14 znaków to sytuacja może wyglądać inaczej. Teoretycznie silniejsze hasło_2 zostanie szybko złamane a słabsze hasło_1 nie.

Podobnie będzie w przypadku gdy atakujący dysponuje jedynie programem, który łamie hasła metodą brute force a nie dysponuje słownikiem i wiedzą niezbędną do samodzielnego napisania programu do crackowania. Ma to miejsce w przypadku niektórych archiwizerów, które mają dość mocny szyfr a kiepskie przetwarzanie hasła na klucz szyfru. Program do łamania zazwyczaj zaczyna łamanie od krótszych haseł więc wynik które hasło prędzej zostanie złamane jest do łatwy przewidzenia. Lepsze okaże się hasło dłuższe!
Jednak należy pamiętać, że służby dysponują innymi środkami niż domorosły cracker i gdy one się zabiorą za ten sam przypadek wynik będzie inny.

Stąd stosowanie słabych ale długich haseł złożonych z powtarzających się sekwencji ma pewne zalety. Jednak należy wiedzieć gdzie ich można użyć.
Najlepiej sprawdzić to dostępnymi programami do ich łamania.


Jest też cecha stosowania takich haseł, która jest ich zaletą. Mianowicie łatwość ich generowania metodą kopiuj i wklej.
Przykład:
hasło bazowe: mintaj
z niego łatwo i szybko otrzymujemy: mintaj123mintaj456mintaj789
a z niego: mintaj123mintaj456mintaj789mintaj123mintaj456mintaj789mintaj123mintaj456mintaj78​9
obcinamy dwa nadmiarowe mintaje i mamy:
mintaj123mintaj456mintaj789mintaj123mintaj456mintaj789mintaj123
fajne hasło do routera WiFi w firmie gdzie czasem na szybko trzeba podłączyć laptop kontrahenta do naszej sieci.
Wprawdzie łatwo je odzyskać z dowolnego firmowego komputera (np. darmowym programem firmy NirSoft) ale dla kogoś kto nie ma fizycznego dostępu do komputerów z sieci jest bardzo trudne do złamania.

Inną zaletą takich haseł jest możliwość oszukiwania keyloggerów.
Przykład:
hasło bazowe: joasia23
Z niego metodą kopiuj, wklejaj i kasuj możemy otrzymać:
joasijoasia23a23
joijoasia23a23
jojoasia23ijoasia23a23
jojoasia23ijoasi3a23

Atakujący keyloggerem wie, że hasło powstało z trzech joasi23 z których usunięto 4 znaki. Jednak jego odgadnięcie nie jest proste.

IMHO długość hasła czasem może mieć wiele zalet jednak nic nie zastąpi generatora losowych haseł i właściwego ich przechowywania.

TorChat: kjwyvwi3ac3wduxj | I2P-Messenger: haglaaxk3jfqp33mfpkhjjamkndvv5bufuw37w445ejhljyjdaka.b32.i2p
I2P Bote: Baiibi~iBvX5p3yOQ1WrZ4C1ryu-MbPsgPvpwLeeYivGswAT~ib0-33pVfOUsQ7nV5pYUcYDl93n5ic4CUWkYh-6Lie5jA1svc35~VJq7itTfRaGIo9nuJlFIElwip7P9HPbNb3feGwwGAkFQR~EnDU2EHIf7heAzV-zmgD3SRJmx1

Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
21.08.2011, 13:55
Post: #7
RE: Hasło - bezpieczeństwo
[Obrazek: password_strength.png]
Smile
Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
21.08.2011, 14:07
Post: #8
RE: Hasło - bezpieczeństwo
3 dni?! WTF? Zmieniam zaraz wszystkie hasła.
Odwiedź stronę użytkownika Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
21.08.2011, 18:41
Post: #9
RE: Hasło - bezpieczeństwo
http://www.seamonster.co.uk/?page_id=27

może jakiś generator? takie hasło to dopiero coś... Wink

§¶T9Aå∑/0y≥!¨µ-F_a£ø¨*∫E

łatwy do zapamiętania ... Big Grin
Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
27.08.2011, 19:06 (Ten post był ostatnio modyfikowany: 27.08.2011 19:19 przez zygfryd.)
Post: #10
RE: Hasło - bezpieczeństwo
Wszystko zależy od aplikacji.
Moim zdaniem powinno się używać generatorów losowych i narzędzi do przechowywania haseł.
Zresztą, porządne stronki internetowe do obsługi haseł używają bcrypt i jakieś utrudnienia po kilku błędnych logowaniach.
Tu szczegóły jak wygląda od strony technicznej ochrona przeciw atakom słownikowym w keepass

Jak autorzy używają takich metod to nawet hasła typu "alamakota5286" jest stosunkowo bezpieczne (sprawdzenie 1 hasła na sekundę).

a są też witryny i programy które trzymają hasła w md5 bez soli lub nawet czystym tekstem :/
Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
Odpowiedz 


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości