Názory k článku SuperGenPass: neukládejte si hesla, generujte je

take mailinator.com je fajn. vznikne zaslanim mailu :-)

http://www.guerrillamail.com/en/

On ti dal kompliment.. KapitanRUM totiz uci balet, znam jednu holku zo k nemu chodi a je ona rika ze je fakt dobry.

2 DgBd
Ty se nějak vyznáš Božínku, docela mě překvapuje, že tyhle názvy sypeš z rukávu :-P

2 Vít Šesták (v6ak)
Používat na webové aplikace slovníkový útok je konina, si to někdy vyzkoušej, i když použiješ bot-net o 1000 strojích, tak hádat hesla o 7-ti znacích je Hollywood. Viz: Kyticka

Pro dutohlávky:
Standardní nastavení Apache nedokáže obsloužit naráz zrovna moc klientů, takže nemá smysl nechávat útočit bot-net větší než 300. Na větších serverech to začne zabíjet DDOS nebo IDS. Servery velkých poskytovatelů mají nastavené IDS tak, že nechají první 100 pokusů a dalších 100 pokusů můžeš udělat až za 24 hodin.

A co chceš nastavit?
7 znaků, musíš zahrnout 0-9,a-z,A-Z,běžné symboly _- a diakritiku.
Tak si spočítej počet kombinací pro sedm znaků.

A násob to dál o prefixy:
www.root.cz
.root.cz
root.cz
rootcz
wwwroootcz
rootcz
wwwroot
root

A ještě jednou to vynásob o stejný počet sufixů (jestli víš, co to je).
A ještě jednou o kombinaci prefixu a sufixu.
A znova, protože ten člověk nedává www.root.cz ale www.root.cz1.

To v té aplikaci budu 100x rychleji, když si počkám na zveřejnění bezpečnostní džuzny (prodleva zveřejnění-oprava), nebo když nějakou sám najdu.

Takže, se prosím raději dál věnuj baletu.

A proto hromada uživatelů žije spokojeným životem s heslem "prdel", "prdelka", "hovno", "cacora", "cacorka", "hanicka", "janicka" nebo "Pepa".
App, nedávno to někdo ZNOVU zkoušel.

Vzal bot-net o 1000 strojích, seznam e-mailových schránek jednoho poskytovatele a seznam 100 nejpoužívanějších hesel, točil méně než 20 hesel/den, aby nespustil IDS.
Úspěšnost byla až ZNEPOKOJIVĚ vysoká !!!!
Jinak s heslem o 7-8 znacích, kde je alespoň jedno číslo, můžeš žít celkem dlouho.

Jen tak pro pobavení:
http://www.security-portal.cz/clanky/50-nejpou%C5%BE%C3%ADvan%C4%9Bj%C5%A1%C3%ADch-hesel-pro-web-v-%C4%8Dr
http://paul27.ic.cz/?p=13
http://www.freerainbowtables.com/phpBB3/viewtopic.php?f=2&t=1502&start=855

Pár slov o IDS:
Někteří poskytovatelé mají nastavené IDS tak, že systém prvních X hesel skutečně ověří, pak se IDS aktivuje a systém už neověří ani platné heslo, i když se tváří, že ověřuje jako vzteklý. Takže se nedá poznat, jestli se jen rochníte v bahně, nebo skutečně něco lovíte. IDS může být nastavený na účet, cookie, IP nebo kombinaci všeho. A pokud IDSku už jednou spadnete do seznamu, dá si na Vás "víc pozor". To ovšem záleží jen na konkrétní implementaci IDS.

Existují dva opravdu efektivní postupy IDS.
A) kdy se dál tváří, že ověřuje, ale neověřuje (Předpokládá se, že pokud normální člověk zkusí padesát hesel, unaví se a zkusí to nejdříve zítra, nebo zavolá na technickou podporu, takže 50 až 100 pokusů jako limit IDS je BOHATÁ rezerva, ostatně kdo si pamatuje 50 hesel, které by mohl zkusit?)

B) kdy IDS od určité doby začne házet success, tj. že se Vám to povedlo, jenže když to zkusíte, dostanete se do "fiktivního" účtu. Pokud se Vám vrací success pro každé heslo a je to dobře udělané, musíte to zkontrolovat osobně a je to taky konec.

Jiný případ jsou třeba herní účty, kde se dají hesla ověřovat opravdu hromadně a provozovatel se s IDS neobtěžoval, tam Vám botnet o 1000 strojích celkem pomůže. Nicméně "ukradené" herní předměty budou stejně zabaveny a "závadné" účty smazány.

Doplním, že i jen trochu dobré IDS samozřejmě pozná slovníkový i brute force útok jako AAA, AAB, AAC, AAD, AAE...

Ne, papírky prostě dáte nějaký čůze, která Vám bude hodinu říkat zlato, povídej mi ještě o tom Linukcu :-P

Tím chci říct, že útok n(hesel ze slovníku):n(u­živatelů) smysl má, ale n(hesel ze slovníku):1(kon­krétní účet) je Holywood.

Jistě, pokud uživatel není tydýt, a heslo nemá hiphop nebo hiphop123.

...v případě NBU a jejich hesla nbusr123 by možná bylo lepší to heslo hiphop123...

Nevím jak ti Vaši hoši, ale naši hoši nbusr123 mají požadavky na přijetí na HPP(hlavní p.poměr) jako na kandidáta na Amerického prezidenta.

A vykuřování se stážistkami :-P

Vase polemika neresi pripad tiche kradeze hashovane db hesel a nsledneho hledani hesel k hashum ve sve rezii.

Ono totiz proflaknuti kompromitace je vlastne znehodnoceni ukradenych dat. Proto pochybuji, ze kdyz nekdo dela brute force nebo slovnikovou variantu takoveho utoku, ji dela primo oproti sluzbe na kterou utoci.

Tohle je ovšem jiné kafe, ve špatně napsaných aplikacích tyto útoky fungují, ale dnes už solí snad každý....

Trosku inak. Domena je v tomto pripade iba jedna, pretoze ide o konkretne pouzitie. Ale da sa upravit do roznych tvarov a tak pocet kombinacii rastie a rastie a rastie...

Miliardy, to je dost málo. Každopádně zde několika lidem uniká princip slovníkového útoku. On se prakticky ničím neliší od útoku "obvyklého". Při obvyklém útoku si řeknete, že budete zkoušet všechna hesla obsahující 1 až 10 znaků z množiny "01234...AZ!@#$%^&*_" apod. Při omezení na ASCII to dává 128-32=96 znaků. Při délce 10 to pak znamená 96^10 kombinací. 66*10^18.

Slovníkový útok funguje obdobně. Budu zkoušet všechny kombinace typu ABABA. Kde A je jedno ze slov ve slovníku a B je jeden ze znaků [žádný znak + ASCII]. Pokud slovník má 10000 slov, pak počet kombinací je 10000^3 * 97^2. 94*10^14. Tedy o dost slabší. A to se bavíme o slovníku s 10000 slovy, což je kupříkladu na angličtinu úctyhodný počet a i v češtině by to přes všechno to skloňování dalo zabrat. Přeci jen se bavíme o 10000 slovech, což při 5 znacích na slovo je 50 tisíc znaků, neboli 25 normostran textu. A to jsme se ještě nedostali ke kombinacím slovníků, kdy budu přepokládat formát ABC, kde C bude slovník webových domén druhého řádu, kde každou uvedu i v kopii s "www.".

Nepodceňujte slovníkové útoky a nepřeceňujte hesla v podobě lidsky čitelných vět. Naivní věty typu "Ema má mámu" jsou silou na úrovni hesel "pepa1". Když už, tak ať je věta dlouhá a sekněte tam nějakou chybu (Ema má mmámu).

Aj pridanie domény, ku ktorej heslo patrí, bezpečnosť zvyšuje, pretože ten stroj, ktorý útok povedie, o tom nebude vedieť. Ty stále vychádzaš z predpokladu, že niekto uhádne tvoju úvahu. Lenže to sa prakticky nedá. Normálny útok skrátka bude skúšať najprv najkratšie kombinácie písmen (či už slovníkové alebo všetky), potom bude skúšať dlhšie a dlhšie. Úvaha, že možno je v tom aj názov domény, príliš nepomôže, pretože stroj netuší, aké dlhé bude to ďalšie slovo, netuší v akom tvare je tam tá doména pridaná (môžem dať vvv.koreň.česko, je vcelku jednoduché si stvoriť pravidlo, ktoré nie je ťažké dodržať u každej domény, napr. cz-root-vévévé alebo 3dabljú). Stroj nevie, či som tú doménu pridal pred slovo, po slove alebo medzi dve slová a najmä, nemá nijakú istotu, že som použil práve doménu a nie trebárs dátum narodenia alebo meno manželky.

Týchto pár jednoduchých úvah ukazuje, že je je asi plytvaním času skúšať trebárs pridanie tej domény či čokoľvek iné a útok sa začne celkom štandardne atam platí, že čím dlhšie heslo, tým bezpečenejšie, vrátane toho "Ema má mamu". Výnimkou môže byť situácia, keď obeť osobne poznám, ale ani vtedy to nebude ľahké. Plus môže byť výhodné skúsiť nejakú databázu najčastejšie používaných hesiel.

Ale stále to platí len v prípade, že by sa to pridávanie domény stalo pravidlom, čo sa nestane. Podobných pravidiel si totiž užívatelia vymyslia tisíce. Nemá teda zmysel začať testovať kombináciu slovník + www.root.cz (+ najbežnejšie obmeny toho root.cz) aby sa nakoniec ukázalo, že to heslo bolo abc123. Jednoducho, pokiaľ neviem aké dlhé je to heslo, nemá zmysel začínať dlhými kombináciami namiesto tých najkratších. Opakujem, aj použitie domény má desiatky obmien, z ktorých nie všetky musia útočníka vôbec napadnúť a existuje plno ďalších podobných fínt ako si uľahčiť pamätanie hesiel (pridať do hesla login, dvakrát login, login s nejakým prefixom, pridávanie svojho mena, dátumu narodenia, prezývky...). Útočník nemá odkiaľ vedieť, ktorú z týchto fínt (a či vôbec nejakú) používam. K tomu loginu ešte dodám, že tie ozaj dôležité servery blokujú zapamätanie si loginu browserom a chcem veriť, že ho majú uložený v šifrovanej podobe.

Ale moja pôvodná reakcia sa týkala ani nie tak požitia domény v hesle ako celkovej využiteľnosti zapamäteľnej vety. A tam si myslím, že je bezpečnosť vďaka dĺžke tej vety vždy lepšia ako bezpečnosť nejakého bubu248bubu, napriek tomu, že obsahuje bežné slová.