Nieuws
image

Regenboog krakers gebruiken 500GB aan wachtwoorden

donderdag 10 november 2005, 12:41 door Redactie, 16 reacties

De afgelopen twee jaar hebben drie ondernemende hackers elf gigantische tabellen met gegevens samengesteld die gebruikt kunnen worden voor het vinden van veel voorkomende wachtwoorden. De tabellen, bij elkaar 500GB, zijn de basisgegevens van een techniek die bekend staat als "rainbow cracking", waarbij grote hoeveelheden data gebruikt wordt om hashes, de unieke codes voor het obfusceren van wachtwoorden, te achterhalen.

Vorige week presenteerde het trio hun dienst, genaamd RainbowCrack Online. De site, die een soort Google voor Rainbow cracking moet worden, laat gebruikers een wachtwoord hash toevoegen die dan gekraakt wordt. "Meestal denken mensen dat complexe, maar korte wachtwoorden erg veilig zijn, zoiets als "$FT%_3^," maar onze tabellen kunnen dit soort wachtwoorden makkelijk aan" zegt Travis, een van de oprichters die niet wil dat zijn achternaam bekend wordt.

Security Focus gaat in dit artikel in op de nieuwe online dienst en techniek van Rainbow cracking.

Reacties (16)
10-11-2005, 13:01 door Anoniem
is dit zo bijzonder ? er zijn sites (prive dan) met ook een
paar honderd gigabyte aan rainbow tables.
10-11-2005, 14:08 door Anoniem
En welk NUT dient deze dienst? (integriteitsgehalte van 0,0)

Gewoon sluiten die tent...............!
10-11-2005, 14:56 door raboof
En daarom gebruik je dus salting (http://en.wikipedia.org/wiki/Salt_(cryptography))
10-11-2005, 16:06 door Wintermute
Door raboof
En daarom gebruik je dus salting (http://en.wikipedia.org/wiki/Salt_(cryptography))

Exact!
10-11-2005, 16:51 door Anoniem
Het moet niet eens mogelijk zijn die data te gebruiken.

Een limiet van 3 foute wachtwoorden en dan een login lock van 1 uur lijkt
mij prima. Vervolgens lekker schrijven naar een log en opzoeken :D

-R.
10-11-2005, 19:42 door G-Force
Wachtwoord mannetjeskoe is ook een goede dijenkletser...
10-11-2005, 22:22 door Anoniem
Door Peter.V
Wachtwoord mannetjeskoe is ook een goede dijenkletser...

Of ********

;-)
11-11-2005, 04:54 door Anoniem
omfg je moet dokken om een hash te laten cracken :S:S wat een apen
beter een fileserver hacken dan met een snelle cpu en ze daar op
genereren :)
11-11-2005, 08:41 door Anonl3m
Door Peter.V
Wachtwoord mannetjeskoe is ook een goede dijenkletser...

En dat maak je een sterke dijenkletser door enkele
verbeteringen aan te brengen: m@Nn3tj:sK0E
11-11-2005, 09:57 door SirDice
Door Anoniem
Het moet niet eens mogelijk zijn die data te gebruiken.

Een limiet van 3 foute wachtwoorden en dan een login lock
van 1 uur lijkt
mij prima. Vervolgens lekker schrijven naar een log en
opzoeken :D

-R.
Wel eens bedacht dat je het brute-force'n off-line zou
kunnen doen? Dan helpt een lock-out policy niet hoor..
11-11-2005, 11:06 door Anoniem
Door SirDice
Wel eens bedacht dat je het brute-force'n off-line zou
kunnen doen? Dan helpt een lock-out policy niet hoor..

Nee, niet aan gedacht.

Waarom zou dat niet werken?
14-11-2005, 14:10 door Anoniem
Door Anoniem
Door SirDice
Wel eens bedacht dat je het brute-force'n off-line zou
kunnen doen? Dan helpt een lock-out policy niet hoor..

Nee, niet aan gedacht.

Waarom zou dat niet werken?

Omdat je op die manier niet aangelogd wordt en dus ook niet geblokkeerd
kunt worden.

In bedrijven komt het vaak voor dat iemand via een NET USE-commando
bepaalde data in een ander (gekoppeld) domein benadert. Of zelf z'n PC
host en alleen via NET USE-commando's de data benadert, om zo de user-
policy te omzeilen.

PeZal
14-11-2005, 14:41 door SirDice
In bedrijven komt het vaak voor dat iemand via een
NET USE-commando bepaalde data in een ander (gekoppeld)
domein benadert. Of zelf z'n PC host en alleen via NET
USE-commando's de data benadert, om zo de user-policy te
omzeilen.
Dat bedoel ik niet met off-line kraken.. Bovendien log je zo
wel degelijk in..

Off-line wil zeggen dat ik een kopie maak van de SAM
database en op m'n gemak deze off-line ga zitten kraken..
Ja, je hebt admin rechten nodig om dat te kunnen doen..
Heeft het off-line kraken dan nog zin? Ja, je kan zo de
wachtwoorden achterhalen van andere admin accounts, service
accounts, backup accounts etc.. Deze accounts hebben vaak
net iets meer rechten en lopen niet zo in de kijker als je
daarmee inlogt..
14-11-2005, 15:58 door Anoniem
@SirDice

Maar het moet toch al niet mogelijk zijn een complete database te kunnen
rippen? Dan heb je in het besturingssysteem al een "lek" zitten, toch?

-R.
14-11-2005, 16:16 door Anoniem

In bedrijven komt het vaak voor dat iemand via een
NET USE-commando bepaalde data in een ander (gekoppeld)
domein benadert. Of zelf z'n PC host en alleen via NET
USE-commando's de data benadert, om zo de user-policy te
omzeilen.

Sorry, dit stukje tekst had hier niet moeten staan. Erg verwarrend ...
14-11-2005, 16:39 door raboof
Maar het moet toch al niet mogelijk zijn een complete
database te kunnen
rippen? Dan heb je in het besturingssysteem al een "lek"
zitten, toch?

De reden dat wachtwoorden gehashed worden opgeslagen is
omdat de hacker dan, ook al komt hij achter de hash, niet
achter het password komt. Dat kan om allerlei redenen nuttig
zijn - simpel voorbeeld: gebruik jij voor iedere site,
account en machine een verschillend password? Juist.

Maar zoals eerder gezegd, als je gebruik maakt van Salting
ben je in principe bestand tegen attacks met rainbow tables.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure