Come sono state forzate le password deboli brute in github?

10

Github ha affrontato di recente un attacco di brute force-guessing attack che ha coinvolto "quasi 40K IP univoco indirizzi".

Anche le password sono state "memorizzate correttamente" usando bcrypt, (salt + hash).

Dato che bcrypt genera un salt salt per random e che il database Github non è stato compromesso, come è stato possibile un attacco brute force "remoto" e per quanto tempo * è stato quel processo?

"These addresses were used to slowly brute force weak passwords or passwords used on multiple sites."

    
posta qnoid 21.11.2013 - 11:19
fonte

2 risposte

9

Se si utilizza la bruteforcing in base ai caratteri, si avranno circa 219 trilioni di tentativi necessari se si utilizzano solo lettere e numeri per le password di 8 caratteri di lunghezza. Questo è molto.

Con password deboli le persone si riferiscono spesso a password comunemente usate come "azerty123", "a1234567", ... o parole in un dizionario. Se si utilizza un dizionario, è possibile ridurre la quantità di password possibili fino a 1 milione, il che significa che tutto ciò che serve è 1 milione di tentativi.

Il problema più grande è che le persone tendono a riutilizzare le password attraverso i siti Web, quindi quando Adobe è stato compromesso, il loro database è trapelato. A causa del loro pessimo sistema di crittografia (non di hashing) delle password, gli autori di attacchi potrebbero generare un elenco di password comunemente utilizzate. Potrebbero ad esempio utilizzare l'indirizzo email associato per provare ad accedere a Github usando la stessa password (perché, come detto, le persone usano spesso la stessa password ovunque).

    
risposta data 21.11.2013 - 11:33
fonte
10

Given that bcrypt generates a random salt per password and that the Github database wasn't compromised, how was a "remote" brute force attack possible and how long* was that process?

Qui vengono confusi due diversi attacchi. Gli hash delle password con forzatura bruta significano che l'attaccante ha ottenuto una tabella del database contenente gli hash delle password e se sono correttamente salati e sottoposti a hashing, allora è molto che richiede tempo alla forza bruta.

In questo caso, github è stato attaccato indovinando le password nella pagina di accesso, quindi non importa come le password siano salate o hash o altro. Importa solo se l'utente in questione ha utilizzato una password facile. Github dice "abbiamo aggressivamente limitare i tentativi di accesso", il che significa che blocca un account dopo x tentativi per un certo periodo di tempo. L'autore dell'attacco aveva risorse (40.000 IP univoci da indovinare) molti account tra cui scegliere e un lungo periodo di tempo in modo che potessero indugiare a indugiare e aspettare che il blocco scada. Anche con tutte quelle risorse, il loro bot non può indovinare abbastanza velocemente da penetrare negli account con password semplici ma morte.

È davvero fantastico che github pubblichi una cronologia della sicurezza all'indirizzo link per il tuo account per vedere l'attività dell'account (accessi non riusciti, accessi, ecc.)

    
risposta data 21.11.2013 - 16:50
fonte

Leggi altre domande sui tag