Figure concrete su password cracking in the wild

14

Mentre indovina la password è una scienza , non tutti gli attaccanti è aggiornato con gli ultimi progressi o cure da investire in GPU o FPGA.

È abbastanza facile testare gli attacchi online per indovinare la password aprendo un honeypot e si concentrano principalmente su password insignificanti e non si rivolgono nemmeno a password predefinite di tanto . Ma le ipotesi online sono piuttosto diverse da quelle offline quando un database delle password è stato esposto.

Ci sono stati studi o almeno casi che mostrano quanto deve essere strong una password per resistere alle supposizioni degli aggressori maleducati? Quanto "sofisticato" deve essere un utente malintenzionato utilizzare strumenti come John the Ripper ?

I ricercatori APT e di sicurezza non rientrano nell'ambito di questa domanda.

(Contesto: è Jeff L'affermazione di Atwood secondo cui le password complesse sono inutili perché gli attaccanti si attengono al "frutto della password a basso impatto" realistico?)

    
posta Gilles 17.03.2013 - 01:32
fonte

2 risposte

5

Esistono essenzialmente due tipi di attacco: attacchi mirati (APT, bersagli ad alto valore, attacchi personali) e attacchi di opportunità (bassa frutta sospesa).

Quindi, ti interessano gli attacchi offline contro i database di perdite trapelate: la risposta è che QUALCUNO si preoccuperà di mettere JTR, OCL Hashcat o strumenti simili su quel database. E quella persona / persone / gruppo sta cercando di vendere le credenziali recuperate in massa agli spammer, ai dirottatori di conti bancari, ecc.

Se vuoi un esempio: link link

Dopotutto, perché qualcun altro perde il DB delle password se non le crei?

    
risposta data 17.03.2013 - 22:23
fonte
2

Non tutte le perdite di password sono uguali. La funzione di hash utilizzata dall'applicazione e la politica della password dell'applicazione dovrebbero dettare quali strumenti utilizzare per interrompere gli hash. Una buona risorsa su questo argomento è Guarda indietro nel 2012 Password Hash Leaks famose - Wordlist, analisi e nuove tecniche di cracking . In breve, sono in grado di rompere la maggior parte degli hash delle password utilizzando un approccio misto.

Se l'applicazione non sta salendo le password, o il sale è molto piccolo allora un Rainbow Table è lo strumento di scelta. I tavoli Rainbow sono precalcolati e disponibili gratuitamente. Questo è il metodo più veloce per esaurire uno spazio-chiave (specialmente se si dispone di un array RAID 0!). Per questi motivi, una tabella arcobaleno è solitamente il primo metodo di cracking se ne può essere usato uno.

John the Ripper è in grado di lavorare con elenchi di parole e generare mutazioni "leet speak" sulle parole. Se una password è solo una parola di un dizionario o una dicitura di una parola, John the Ripper può rompere questo hash. A differenza delle tabelle arcobaleno, John the Ripper può accettare il sale come argomento, che non impedisce il cracking.

Se l'applicazione sta usando il key stretching con bcrypt o pbkdf2, quindi un FPGA e GPU sono quasi inutili . Nell'analisi hash del 2012 trapelata, le GPU sono state in grado di craccare circa il 48% delle password, questo principalmente perché bcrypt e pbkdf2 non sono comunemente usati.

... ma in pratica la quantità non è tutto. Non sono affatto d'accordo con Jeff Atwood su questo approccio "a bassa portata". L'account più prezioso è l'account amministrativo , spesso esiste solo un hash per la password che l'utente malintenzionato vuole interrompere e farà tutto il possibile per interrompere questo hash. Come tester di penetrazione, rompere un hash delle password amministrative è una grande scoperta in un report e un link eccellente in un attacco incatenato.

    
risposta data 19.03.2013 - 18:34
fonte

Leggi altre domande sui tag