Forum » Informacijska varnost » Passwordi me ubijajo!
Passwordi me ubijajo!
harmony ::
Ajej. Mislis na "backdoorlocker"?
Ja, če verjameš v chemtraile.
Ali si mislil točno določeno implementacijo?
Bitlocker je čisto OK. Opcija na Windtendo sistemih je še VEraCrypt, sicer pa Linux in Cryptsetup, ane?
Je je, okej je...
https://www.theguardian.com/world/2013/...
bobby ::
Ma se bojim, da je večji problem ne v veracryptu, truecryptu ali bitlockerju ali kateremkoli drugem,..
Pri vseh se da zadevo tako ali drugače razbijat, naprimer hitrost razbijanja z dvema 1080 je 1,2MIljona poizkusov na sekundo,... na oko, 9 mestno geslo je razbito v cca 30dneh, če me spomin ne vara, pa lahko vsebuje Velike, male in številke,... Na tej točki me je Bitlocker razočaral, kako lahko je to.
Pri vseh se da zadevo tako ali drugače razbijat, naprimer hitrost razbijanja z dvema 1080 je 1,2MIljona poizkusov na sekundo,... na oko, 9 mestno geslo je razbito v cca 30dneh, če me spomin ne vara, pa lahko vsebuje Velike, male in številke,... Na tej točki me je Bitlocker razočaral, kako lahko je to.
Ce eksplicitno ne odgovorim osebam PNG ali PR,..I dont care about your opinion.
poweroff ::
Dobro, pa kaj je sedaj zaprta koda kar naenkrat problem, ali kaj?
Mislim... eni to govorimo že par let, pa smo bili do sedaj bedaki...
Sicer pa PBKDF2 all the way zna pomagat...
Mislim... eni to govorimo že par let, pa smo bili do sedaj bedaki...
Sicer pa PBKDF2 all the way zna pomagat...
sudo poweroff
MrStein ::
Če se hočete zaščititi od NSA, potem je vseeno kaj počnete.
Kaj ima hitrost hashanja veze z licenco?
Dobro, pa kaj je sedaj zaprta koda kar naenkrat problem, ali kaj?
Kaj ima hitrost hashanja veze z licenco?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Zgodovina sprememb…
- spremenil: MrStein ()
MrStein ::
Ma se bojim, da je večji problem ne v veracryptu, truecryptu ali bitlockerju ali kateremkoli drugem,..
Pri vseh se da zadevo tako ali drugače razbijat, naprimer hitrost razbijanja z dvema 1080 je 1,2MIljona poizkusov na sekundo,... na oko, 9 mestno geslo je razbito v cca 30dneh, če me spomin ne vara, pa lahko vsebuje Velike, male in številke,... Na tej točki me je Bitlocker razočaral, kako lahko je to.
Od kod ti podatki?
Elcomsoft trdi da na GTX 1080 dobiš 800 hashev na sekundo. Kar je podobno Veracrypt (odvisno od izbranega algoritma).
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
todman74 ::
Pač če nekdo ima dostop do računalnika boš z varnostnimi mehanizmi zgolj oteževal da ti ukrade gesla, več kot to ne moreš, če ne preprečiš vstopa na računalnik.
Tole mene malo skrbi...namreč na crypto borzo vstopam tako, da copy/pastam geslo in dodatno varnostno geslo. Passworda sta zaje*ana in ni šans, da bi si ju zapomnil. Razmišljam pa, da bi bilo morda bolj varno, če bi "lepil" samo glavno geslo, za dodatno pa bi si izbral eno lažje, ki bi si ga zapomnil in vsakič sproti vtipkal....
Lonsarg ::
@todman74, če copy pastaš iz kakega truecrypt kontejnerja je še za silo ok. V tem primeru mora nekdo aktivnega trojanca ti podtaknit, ni zadosti enkratni vdor.
imagodei ::
Jaz imam eno precej n00b vprašanje...
Vsi normalni servisi in aplikacije, od Polken, FTP, banke, Gmaila, SSH-ja dalje, imajo navadno implementirano neko zaščito, ki onemogoča dictionary napade... Ali imaš samo 3 (oziroma 5, 10) poskusov, preden ti prijavo onemogočijo za neko obdobje, ali pa ti začnejo dodajat delaye (recimo 30 sekundni delay med dvema poskusoma...
Če nimaš ravno fizičnega dostopa do podatkovnega nosilca, kjer je shranjen hash, kako lahko nekomu sploh z dictionary ali pa brute force napadom vdreš v račun? I get it, če nekdo hackne Google/Gmail in se dokoplje do hash datotek, potem potrebuje samo čas. Spet, če je servis vsaj na pol spodoben, uporablja tudi kakšno "soljenje", morda "popranje", ki ugibanje gesel spet malo zakomplicirata...
Skratka, ob predpostavki, da imamo opravka z vsaj na pol spodobnim servisom in ob predpostavki, da uporabnik ne uporablja ravno gesla tipa "p4$$w0rd", koliko realističen je podatek, da se neko 8-mestno geslo z velikimi in malimi črkami, številkami in posebnimi znaki lahko razbije v nekaj sekundah do nekaj minutah? Oziroma drugače, ali so te nizke številke, kadar govorimo o spodobno zavarovanih storitvah, zgolj FUD ali ne?
Vsi normalni servisi in aplikacije, od Polken, FTP, banke, Gmaila, SSH-ja dalje, imajo navadno implementirano neko zaščito, ki onemogoča dictionary napade... Ali imaš samo 3 (oziroma 5, 10) poskusov, preden ti prijavo onemogočijo za neko obdobje, ali pa ti začnejo dodajat delaye (recimo 30 sekundni delay med dvema poskusoma...
Če nimaš ravno fizičnega dostopa do podatkovnega nosilca, kjer je shranjen hash, kako lahko nekomu sploh z dictionary ali pa brute force napadom vdreš v račun? I get it, če nekdo hackne Google/Gmail in se dokoplje do hash datotek, potem potrebuje samo čas. Spet, če je servis vsaj na pol spodoben, uporablja tudi kakšno "soljenje", morda "popranje", ki ugibanje gesel spet malo zakomplicirata...
Skratka, ob predpostavki, da imamo opravka z vsaj na pol spodobnim servisom in ob predpostavki, da uporabnik ne uporablja ravno gesla tipa "p4$$w0rd", koliko realističen je podatek, da se neko 8-mestno geslo z velikimi in malimi črkami, številkami in posebnimi znaki lahko razbije v nekaj sekundah do nekaj minutah? Oziroma drugače, ali so te nizke številke, kadar govorimo o spodobno zavarovanih storitvah, zgolj FUD ali ne?
- Hoc est qui sumus -
bobby ::
Ma se bojim, da je večji problem ne v veracryptu, truecryptu ali bitlockerju ali kateremkoli drugem,..
Pri vseh se da zadevo tako ali drugače razbijat, naprimer hitrost razbijanja z dvema 1080 je 1,2MIljona poizkusov na sekundo,... na oko, 9 mestno geslo je razbito v cca 30dneh, če me spomin ne vara, pa lahko vsebuje Velike, male in številke,... Na tej točki me je Bitlocker razočaral, kako lahko je to.
Od kod ti podatki?
Elcomsoft trdi da na GTX 1080 dobiš 800 hashev na sekundo. Kar je podobno Veracrypt (odvisno od izbranega algoritma).
No spomin me je prevaral. Res je cca 800 gesel na sekundo, ampak kolicina hashiranja je pa do 2Ghs/s
Ce eksplicitno ne odgovorim osebam PNG ali PR,..I dont care about your opinion.
MrStein ::
Skratka, ob predpostavki, da imamo opravka z vsaj na pol spodobnim servisom in ob predpostavki, da uporabnik ne uporablja ravno gesla tipa "p4$$w0rd", koliko realističen je podatek, da se neko 8-mestno geslo z velikimi in malimi črkami, številkami in posebnimi znaki lahko razbije v nekaj sekundah do nekaj minutah? Oziroma drugače, ali so te nizke številke, kadar govorimo o spodobno zavarovanih storitvah, zgolj FUD ali ne?
Te številke so za primer, ko ima napadalec dostop do hashov (torej baze).
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
imagodei ::
Seveda so - ampak menda ja spodobni ponudniki storitev (banke, Gmail, itd) uporabljajo tudi salt? In ali pepper?
Ti dve tehniki tudi v primeru poznanega hasha dodatno zakomplicirata brute force napade. Če napadalec ne pridobi dostopa do "soli" za posameznega uporabnika, pa tudi če dobi dostop do podatkov o "soli" za uporabnike, pa ne ve, kam v password jih mora dodati, se tiste sekunde nenadoma spremenijo v dneve, leta, desetletja...
Ali pa se motim?
Saj se strinjam, da se na koncu ne moreš zanašat na ponudnika storitev, da ima non-stop posodobljen sistem, da razkrite zero-day exploite takoj patcha, da nek admin ne naredi trivialne napake in nekako uspe objavit hashe za vse uporabnike, ali pa da so celo tako neodgovorni, da uporabljajo ne varne hashe ter celo plaintext passworde... Vem, da na koncu ne moreš računat na ponudnika storitev, da se zaveda problematike brute force napadov in da uporablja "soljenje" in/ali "popranje". Ampak, govorim zelo splošno, za kolikor toliko zaupanja vredne ponudnike: najbrž so ocene, kako hitro lahko hackerji razbijejo gesla, če imajo dostop do hashov, za nekaj magnitud precenjena.
Če pa upoštevaš worst case scenario, pa verjetno res...
Ti dve tehniki tudi v primeru poznanega hasha dodatno zakomplicirata brute force napade. Če napadalec ne pridobi dostopa do "soli" za posameznega uporabnika, pa tudi če dobi dostop do podatkov o "soli" za uporabnike, pa ne ve, kam v password jih mora dodati, se tiste sekunde nenadoma spremenijo v dneve, leta, desetletja...
Ali pa se motim?
Saj se strinjam, da se na koncu ne moreš zanašat na ponudnika storitev, da ima non-stop posodobljen sistem, da razkrite zero-day exploite takoj patcha, da nek admin ne naredi trivialne napake in nekako uspe objavit hashe za vse uporabnike, ali pa da so celo tako neodgovorni, da uporabljajo ne varne hashe ter celo plaintext passworde... Vem, da na koncu ne moreš računat na ponudnika storitev, da se zaveda problematike brute force napadov in da uporablja "soljenje" in/ali "popranje". Ampak, govorim zelo splošno, za kolikor toliko zaupanja vredne ponudnike: najbrž so ocene, kako hitro lahko hackerji razbijejo gesla, če imajo dostop do hashov, za nekaj magnitud precenjena.
Če pa upoštevaš worst case scenario, pa verjetno res...
- Hoc est qui sumus -
MrStein ::
Ja, salt je vštet v te podatke.
Bolj točno: odvisno od primera. Salt podaljša razbijanje. Včasih dovolj, da razbijanje ni več smiselno. Včasih ne.
Bolj točno: odvisno od primera. Salt podaljša razbijanje. Včasih dovolj, da razbijanje ni več smiselno. Včasih ne.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Zgodovina sprememb…
- spremenil: MrStein ()
Lonsarg ::
Ko malo raziščeš te vdore v velike sisteme kjer ukradejo hashe, v praksi vidiš da ponavadi nekaj 10% razbijejo z dictionary napadi, potem pa se jim ne splača več ukvarjati, ker je potrebno kar precej računske moči za posamezno geslo.
bobby ::
Ko malo raziščeš te vdore v velike sisteme kjer ukradejo hashe, v praksi vidiš da ponavadi nekaj 10% razbijejo z dictionary napadi, potem pa se jim ne splača več ukvarjati, ker je potrebno kar precej računske moči za posamezno geslo.
Kako daleč si od te trditve,...
Ce eksplicitno ne odgovorim osebam PNG ali PR,..I dont care about your opinion.
bobby ::
Primer:
če vsebuje vse velike, vse male in vse številke in je geslo samo 8 znakov dolgo, kjer je to pri nekaterih straneh minimum, je to 165*10na12 kombinacij
Imaš rig ki ima 8*1080 grafik
https://gist.github.com/epixoip/a83d38f...
in je upravitelj strani bumbar in ima to v MD5 shranjeno
ta rig ima moč 200*10na9 poizkusov v sekundi, kar pomeni
825s časa, da poizkusi vse kombinacije.
In glede na lenobo ljudi je to veliko ve kot 10%
Moja gajba narei 25*10na9 poizkusov v sekundi, do the math.
če vsebuje vse velike, vse male in vse številke in je geslo samo 8 znakov dolgo, kjer je to pri nekaterih straneh minimum, je to 165*10na12 kombinacij
Imaš rig ki ima 8*1080 grafik
https://gist.github.com/epixoip/a83d38f...
in je upravitelj strani bumbar in ima to v MD5 shranjeno
ta rig ima moč 200*10na9 poizkusov v sekundi, kar pomeni
825s časa, da poizkusi vse kombinacije.
In glede na lenobo ljudi je to veliko ve kot 10%
Moja gajba narei 25*10na9 poizkusov v sekundi, do the math.
Ce eksplicitno ne odgovorim osebam PNG ali PR,..I dont care about your opinion.
bobby ::
Ne, tega nisem trdil. In močno dvomim, da imaš ti tako geslo za KARKOLI,..
Preberi si še enkrat moj post.
Preberi si še enkrat moj post.
Ce eksplicitno ne odgovorim osebam PNG ali PR,..I dont care about your opinion.
harmony ::
Ne, tega nisem trdil. In močno dvomim, da imaš ti tako geslo za KARKOLI,..
Preberi si še enkrat moj post.
Ne, jaz resno sprasujem, brez trolanja. Zanima me kaksno naj bi dal geslo za kriptiran disk. Kaj mi koristi neko geslo, ce ga nekdo z dvemi grafami v parih urah skreka.
Vpisovati geslo tipa "j/&3_::22fffJFOIFFadr.,nNsL-"!" vsakic, ob loginu windowsa ali linuxa bi bilo res mukotrpno.
bobby ::
Tisti, ki me vpraša, mu povem, da se vsa gesla da ugotovit, ampak,... otežiš zadevo že, če uporabljaš teh par pravil:
najmanj en mali znak, en veliki, eno številko, special karakter, najmanj 10 mestna zadeva in ne sme vsebovati imena, priimka, loakcije,,...
Recimo
1zelena-BaboonRit (kr neki, nesmiselno sestavljena ampak lahko za zapomnit)
A1si.ntdu8 (preprosta izpeljanka iz a si ti tud not padu)
nl0vr.Bscsne (na lovro bos cesnje)
najmanj en mali znak, en veliki, eno številko, special karakter, najmanj 10 mestna zadeva in ne sme vsebovati imena, priimka, loakcije,,...
Recimo
1zelena-BaboonRit (kr neki, nesmiselno sestavljena ampak lahko za zapomnit)
A1si.ntdu8 (preprosta izpeljanka iz a si ti tud not padu)
nl0vr.Bscsne (na lovro bos cesnje)
Ce eksplicitno ne odgovorim osebam PNG ali PR,..I dont care about your opinion.
Zgodovina sprememb…
- spremenil: bobby ()
harmony ::
Torej geslo: Danesjepokalovvurberku%3344 niti ne bi bilo slabo za kriptiranje diska? To bi recimo bilo v izi za zapomnit.
MrStein ::
Vpisovati geslo tipa "j/&3_::22fffJFOIFFadr.,nNsL-"!" vsakic, ob loginu windowsa ali linuxa bi bilo res mukotrpno.
TPM to the rescue. Ali ključ na USB ... ključku. (če misliš za BitLocker)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Zgodovina sprememb…
- spremenil: MrStein ()
poweroff ::
Sure. Pa edina kopija naj bo na USB ključku... aja, to pa raje ne. No, pol pa ključ v cloud shranit. 
sudo poweroff
predi ::
Saul Goodman je izjavil:
yubikey.
Ti to imaš? Kako je v primeru, da ti crkne, glede na to, da gre (na videz) za neko flash tehnologijo z enoletno garancijo?
MrStein ::
Backup, backup in še enkrat backup.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Pero_SLO ::
Uporablja kdo kakšen password manager v kombinaciji z yubikey? Zanima me praktična uporaba? Je kar high learning curve ko se 1x spustiš v varnost. Predvsem me zanima kako si potem urediti backup password managerja in yubikey-a? Kako se avtenticiraš, če izgubiš eno ali drugo...? Da si ne narediš z varnostjo še več "štale".
Nekak sem že naštudiral, da je potrebno generirati random gesla za vse pomembnejše spletne strani. Povsod random drugačno geslo. Verjetno je prvo avtentikacija z yubikey-em, ki te spusti do password managerja, kater ima zgenerirana in shranjena random gesla za prijavo na strani? Malware in keyloggerji pri takšni avtentikaciji nimajo kaj dosti možnosti?
Če ima kdo kakšno drugo varianto, boljšo ali ne...
Če sem prav videl Yubikey ni za smart phone brez NFC-ja. Kako je potem tam? Drug 2FA?
Hvala in LP.
Nekak sem že naštudiral, da je potrebno generirati random gesla za vse pomembnejše spletne strani. Povsod random drugačno geslo. Verjetno je prvo avtentikacija z yubikey-em, ki te spusti do password managerja, kater ima zgenerirana in shranjena random gesla za prijavo na strani? Malware in keyloggerji pri takšni avtentikaciji nimajo kaj dosti možnosti?
Če ima kdo kakšno drugo varianto, boljšo ali ne...
Če sem prav videl Yubikey ni za smart phone brez NFC-ja. Kako je potem tam? Drug 2FA?
Hvala in LP.
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Varna gesla, ki to niso: ji32k7au4a83 (strani: 1 2 )Oddelek: Novice / Varnost | 19083 (15402) | SeMiNeSanja |
| » | LastPass odslej omogoča brezplačno sinhronizacijo med napravamiOddelek: Novice / Varnost | 8925 (6121) | PARTyZAN |
| » | Autofill Siol mailOddelek: Omrežja in internet | 2470 (2178) | bosmla |
| » | Google želi tvoriti in hraniti vaša gesla (strani: 1 2 )Oddelek: Novice / Zasebnost | 28108 (24727) | antonija |
| » | Sum vdora v LastPass povzročil množično menjavo geselOddelek: Novice / Varnost | 14045 (12944) | poweroff |