Potrebbe essere considerato un rischio utilizzare una chiave generata da un servizio online?

4

Con alcuni colleghi stiamo discutendo del sito randomkeygen.com .

Penso che ci sia un rischio per la sicurezza usando le chiavi generate di questo sito (o di questo tipo).

Perché? Ecco i miei pensieri:

Che cosa impedisce al proprietario del sito web di memorizzare la password generata all'interno di un database e rilasciarlo come attacco di dizionario?

So che le combinazioni di password generate non sono infinite, ma cosa succede se con questo dizionario gli hacker provano una password che sanno che è stata generata (quindi più probabile che venga usata)

Possiamo persino pensare a una heatmap usata per Analystics per sapere quale tipo di password generata viene usata per restringere l'ambito delle password eventualmente usate (o anche un Javascript che invia la password al database una volta che è stata copiata negli appunti , ma è un po 'troppo ovvio per la mia dimostrazione.

PS: non lavoro in sicurezza, quindi mi dispiace se dico cose sbagliate. So che la mia teoria non è una grande "violazione della sicurezza", ma se la vediamo solo in un modo statistico, ci sono più possibilità se riduciamo il numero di possibili password.

Quindi, l'utilizzo di una chiave generata da un servizio online potrebbe essere considerato un rischio?

    
posta Tristan 11.02.2014 - 16:12
fonte

3 risposte

1

Dipende dal tuo profilo di attacco, ma sì, è teoricamente un rischio. È un probabile vettore di attacco? No. Gli attacchi tipici usano permutazioni su dizionari di password comuni. Un tale dizionario deve essere abbastanza grande da ottenere la maggior parte delle password e abbastanza piccolo da essere pratico.

E infatti molto piccolo è piuttosto pratico. Secondo un'analisi di alcune password trapelate di recente, un dizionario con solo 100 password ti porta circa il 40% di tutti gli account, mentre 500 ti ottiene il 71%. Ci sono dizionari disponibili di molte decine di migliaia di password realmente trapelate, quindi gli aggressori in genere non devono indovinare.

Tuttavia, esiste la possibilità che il sito sia dannoso e che registri le password che genera. O forse il suo proprietario è meno competente e in realtà sta generando password basate su un generatore di numeri casuali rotto .

Puoi alleviare il primo problema generando le tue password sul tuo computer. Esistono strumenti come LastPass che possono eseguire esattamente lo stesso processo localmente nel browser come un'estensione.

Questepasswordsonomoltoprobabilmenteabbastanzacasuali,ilchesignificachenonapparirannonell'elencotop50.000.Seè mostrare pregiudizi è meglio determinarlo effettuando effettivamente un'analisi statistica. Normalmente usano il crypto RNG integrato del sistema, che in genere è abbastanza sicuro.

Ma anche in questo caso, il pericolo di avere una password con una deviazione dell'1% lontano da determinati valori non è particolarmente problematico per una password one-off. I problemi sorgono quando si crea un numero statisticamente significativo di queste password (migliaia, milioni) in modo tale che il bias diventi un pattern. Così com'è, un utente malintenzionato non si preoccuperà di sintonizzare il suo algoritmo in modo che corrisponda al bias di un determinato generatore di password; non è il suo momento: Forzare in brute una password di 122 bit non è più fattibile di una password a 128 bit.

Se la tua password è lunga e ragionevolmente imprevedibile, allora sei ragionevolmente al sicuro.

    
risposta data 11.02.2014 - 20:53
fonte
5
  1. Nulla gli impedisce di memorizzare la password
  2. Sì, è un rischio, perché non sai cosa sta succedendo con la chiave assegnata sul back-end del sito web

Scrivere un keygen adeguato non è difficile, ci sono molti esempi su come scrivere un semplice script che faccia questo per te. È tuttavia importante utilizzare la quantità corretta di entropia per la casualità della chiave generata. Fai riferimento a risposta di Bear qui .

    
risposta data 11.02.2014 - 16:18
fonte
1

Un'altra cosa da tenere a mente è che il sito stesso può essere di buona natura e non tiene traccia dei valori generati, ma potrebbe essere possibile sniffare i valori generati attraverso la rete.

Il sito randomkeygen.com nel tuo esempio è accessibile tramite semplice HTTP, quindi è vulnerabile a un MITM attacco. Al momento della scrittura non esiste una versione HTTPS, questo sembra darti la pagina Apache Server predefinita e un avviso di certificato.

Tuttavia, ci sono altri servizi come random.org che supportano HTTPS per garantire che i tuoi valori generati non possano essere annusati.

Nelle loro Domande frequenti , questo sito stesso mette in guardia dall'usare qualsiasi valore per motivi di sicurezza:

Q2.4: Are the numbers available in a secure fashion? Yes, since April 2007 you can access the server via https://www.random.org/

We should probably note that while fetching the numbers via secure HTTP would protect them from being observed while in transit, anyone genuinely concerned with security should not trust anyone else (including RANDOM.ORG) to generate their cryptographic keys.

Direi che questo si applica a tutti i servizi di terze parti e dovresti davvero generare le tue chiavi usando il tuo software locale. Il software RoboForm include un generatore di password sicuro:

    
risposta data 13.02.2014 - 11:56
fonte

Leggi altre domande sui tag