Security Professionals - ipfw add deny all from eindgebruikers to any

WW uit LinkedIn: slim,lang=dom

22-06-2016, 22:41 door Dick99999, 13 reacties
Laatst bijgewerkt: 23-06-2016, 08:14
Ik heb de langere wachtwoorden uit een LinkedIn wachtwoord dump met 89% van ~60 miljoen wachtwoorden bekeken. Er zijn er ruim 26000 die meer dan 20 tekens hebben. Wat daaruit te leren valt is dat zogenaamd slimme patronen voor lange wachtwoorden gewoon gekraakt kunnen worden op en relatief iets langzamer systeem met 8 grafische kaarten. Verder gebruikten velen (hun/een?) email adres als wachtwoord. Dat is ook 'niet aan te raden'.

Ik kan niet alle patronen hieronder verklaren, maar wel duidelijk is dat wachtzinnen van willekeurige woorden niet voorkomen (of niet te kraken zijn?). Een indruk van lange wachtwoorden (sommige op 2 regels):

OOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOO
xxx,xxxxxxxxx@mixxxxxxxxxxxgov.uk
ialwaysforgetmyfuckingpassword
xxxxxxxxxxxxxxxgroenxxxxxxxxxxx@hetnet.nl
messages-noreply@bounce.linkedin.com
xxxxxxxxx@xxxxxxxxionannonxxxxxx.fr
kkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkk
edamayajjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjj
fetalalcoholspectrumdisorders
https://mail.google.com/mail/?shva=1#inbox
albuspercivalwulfricbriandumbledore
xxxxx.xxxxxx-xxxxx@nl.xxxxxxx.com
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
=============================================
123456789101112131415161718192021222324252627282930
11111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111
1111111111111111111111111111111111111111111
00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000
b///////////////////////////////
/////////////.///////
//////////**********
----------------------------------------------------------------------------------------------------
aqwzsxedcrfvtgbyhnuj,ik;ol:pm!
inthebeginningwastheword
in the beginning was the word
I would love to hear from you

en ...... ja ook deze 'slimme' variaties:
horse staple battery correct
incorrecthorsebatterystaple
correcthorsebatterystaple
CorrectHorseBatteryStaple
correcthorsebatterystaple12

Bijgewerkt: 89% toegevoegd
Reacties (13)
23-06-2016, 08:10 door karma4
Elk herkenbaar patroon zal gejacked worden.
Aes 128-256 is 16 dan wel 32 bytes met 8 radon utf8 tekens zou je er zijn.
Je moet dan niet de herkenbare patronen over het netwerk halen maar de randomizing in het endpoint leggen inclusief salt.
23-06-2016, 09:22 door [Account Verwijderd]
[Verwijderd]
23-06-2016, 09:57 door Anoniem
Dit zegt meer over de gebruikte regels / wordlists bij het kraken van de wachtwoorden dan over de wachtwoorden zelf. Het is logisch dat je hier geen 'moeilijke' wachtwoorden tussen zult vinden en alleen degene die relatief makkelijk te kraken zijn.
23-06-2016, 10:51 door Anoniem
Door Anoniem:Het is logisch dat je hier geen 'moeilijke' wachtwoorden tussen zult vinden en alleen degene die relatief makkelijk te kraken zijn.

Er zijn geen "moeilijk" of "makkelijk" te kraken wachtwoorden. Alle wachtwoorden zijn even gemakkelijk te kraken.
Het is gewoon een kwestie van staan ze op de lijst of niet.
Als mensen voorbeelden geven van wat een goed wachtwoord is en de samenstellers van die lijst zetten deze voorbeelden
(dan wel de algorithmes waarmee ze gemaakt zijn) op hun lijst dan zijn ze op slag weer "makkelijk te kraken" en "slecht".

Daarom heeft het ook geen zin om rekening te houden met deze manier van kraken.
Wachtwoorden zijn alleen een beveiliging als ze benaderd moeten worden via een interface die "proberen" limiteert.
Als ze op een standaard wijze gehashed zijn en de hashes worden door wanbeheer gestolen dan is de beveiliging weg.

(dit is niet de enige reden waarom wachtwoorden een heel slechte beveiliging zijn)
23-06-2016, 11:27 door Anoniem
Door karma4: Elk herkenbaar patroon zal gejacked worden.
Aes 128-256 is 16 dan wel 32 bytes met 8 radon utf8 tekens zou je er zijn.
Je moet dan niet de herkenbare patronen over het netwerk halen maar de randomizing in het endpoint leggen inclusief salt.

Bedoel je nou dat jou antwoord gesalt is? Ik zit in de security biznizz maar snap niet waar je het over hebt.
Leuk dat je een aantal termen noemt maar het bevorderd de conversatie niet echt.

Inhoudelijk verschilt je tekst niets van een Lorem Ipsum filler.
23-06-2016, 12:08 door Dick99999
Vandaag, 09:57 door Anoniem: Dit zegt meer over de gebruikte regels / wordlists bij het kraken van de wachtwoorden dan over de wachtwoorden zelf. Het is logisch dat je hier geen 'moeilijke' wachtwoorden tussen zult vinden en alleen degene die relatief makkelijk te kraken zijn.
Zou je ook kunnen zeggen dat moeilijke (sterke) wachtwoorden niet met simpele regels of simpele wordlists te kraken zijn op een 'simpel' systeem met 8 GPU's ? En dan ben je toch waar je wilt zijn met een sterk wachtwoord?
23-06-2016, 16:25 door karma4 - Bijgewerkt: 23-06-2016, 16:30
Door Muria:
Wartaal...
Alleen wartaal als je de omschakeling niet ziet.
Met certificaten ben je gedwongen die op de client omgevingen te zetten. Niemand zeurt over de zin. Alleen de onzin van het blind moeten vertrouwen van de certificaat aanleveren.
SQL injectie en applicaties logica moet je aan de server kant goed oplossen. Met owasp wordt dat al zo'n 20 jaar uitgedragen. De wartaal vanuit managers en quick developers is "het werkt toch, waar maak je je druk om"

Een password hoort niet leesbaar over de lijn te gaan. Waarom dat toch gebeurt bij web interfaces... tja.

Schakel nu eens. Laat de passwords op de cliënt zo veel mogelijk randomized door komen. Niet veel anders dan al die pasword managers al doen. Als je ssh kent, moet je ook de password less optie kennen waar een niet intikbare key lokaal op de cliënt afgestemd wordt met de server kant.
Er wordt in dat geval geen password uitgewisseld. Wat er niet is kan niet opgeslagen worden aan de server zijde. Wat aan de server zijdeniet aanwezig is kan niet gelekt worden.

Met random 8 tekens utf8 dek je zo'n 32 bytes ofwel 256 bits. Je moet wel weten dat met Unicode 1 teken 4 bytes kan zijn.

Wat echt warrig is om aan achterhaalde waarheden vast te blijven houden.

dit is niet de enige reden waarom wachtwoorden een heel slechte beveiliging zijn
Dank je, dat is het wezenlijke waar het om gaat. Het vastomlijnde het geheel van maatregelen bij een risico met een impact
23-06-2016, 17:16 door Dick99999 - Bijgewerkt: 23-06-2016, 17:26
Als ik zo vrij mag zijn, even terug naar het onderwerp: Impliciete vraag was of zogenaamd slimme lange wachtwoorden
- zoals 192 enen,
- zoals hele lange hashtags,
- zoals slimme voor- en achtervoegsels en
- zoals je hele lange email adres,
voor een 'simpele' kraker te achterhalen zijn. En of passphrases, van meer dan 3 woorden, inderdaad door die zelfde kraker niet te achterhalen zijn.

@ Vandaag, 10:51 door Anoniem : Het is gewoon een kwestie van staan ze op de lijst of niet.
Is het nu juist niet de bedoeling dat de kans zo laag mogelijk is dat het te kiezen wachtwoord op 'de' (welke?) lijst staat?

Ik heb op Ars het volgende gesteld: veronderstel dat de LinkedIn lijst alleen bestond uit 117 miljoen wachtzinnen van 5 Diceware (met slechts 7776) woorden. Als je dan die lijst zou gebruiken om te kraken, dan is de kans dat jouw nieuwe wachtzin op die lijst staat ongeveer 1 op een triljard. Dat is voldoende voor vele toepassingen, en dat is dan een sterk wachtwoord omdat op andere wijze deze wachtzin niet te kraken zou zijn binnen een redelijke tijd.
23-06-2016, 21:27 door Anoniem
Een wachtzin bestaat uit onderwerp, gezegde en lijdend voorwerp. Zo, dat roeit nogal wat mogelijke wacht(on)zinnen uit. Maar misschien houd je er nog wel genoeg over.
24-06-2016, 08:57 door Dick99999 - Bijgewerkt: 24-06-2016, 09:03
Door Anoniem: Een wachtzin bestaat uit onderwerp, gezegde en lijdend voorwerp. Zo, dat roeit nogal wat mogelijke wacht(on)zinnen uit. Maar misschien houd je er nog wel genoeg over.
Een wachtzin bestaat uit een aantal (minimaal 4-5) willekeurig gekozen woorden. zoals WeetKnolIndieGildeChef al dan niet met leestekens ertussen, al dan niet met hoofdletters.
zie Diceware https://discussions.agilebits.com/discussion/47749/diceware-format-in-1password-6?
zie https://www.security.nl/posting/457672/Wachtwoordkluis+1Password+verbetert+wachtwoordgenerator
zie 1Password https://diceware.blogspot.nl/2014/03/time-to-add-word.html#comment-form

Semantisch en syntactisch correcte zinnen zijn zwakke passphrases, maar er kan slecht aan gerekend worden. Bijbelteksten, liedjes, webpagina zinnen zijn zeer zwak.
24-06-2016, 10:01 door Anoniem
Door Dick99999:Bijbelteksten, liedjes, webpagina zinnen zijn zeer zwak.

Liedjes kunnen toch juist heel goed?
Can'tTouchThis,TanananaNanaNa!
IkHeeebHierEenBriiieeefVoorMijnMoooeeeder!
:-)
24-06-2016, 12:45 door Dick99999
Ik heb begrepen, maar helaas nooit gezien, dat er woorden lijsten zijn met bijvoorbeeld alleen Lyrics texts. Dan is Can'tTouchThis,TanananaNanaNa! een zwak wachtwoord zin.
Het is voor een kraker een peulenschil om zo'n - voor ons zeer lange - lyrics lijst langs te lopen. Met moderne apparatuur kan je namelijk zo'n 8.4 miljard SHA1 hashes van zinnen per seconde kan testen, per GTX 1080 grafische kaart. Variaties op zo'n tekst als hoofdletters of geen spaties maken dan ook niet meer uit.

In het zeer speciale geval van linkedin kan dit oplopen tot 234 biljard (234,000,000,000,000,000) hashes/sec volgens http://www.newday.mk/linkedin-hack-showed-up-117-million-password-hashes-for-download/.
Met de aantekening dat deze snelheid niet voor een individueel wachtwoord of -zin niet geldt, volgens mij.
24-06-2016, 19:50 door Anoniem
ja , er bestaan krachtige systemen om wachtwoorden te kraken. Maar ook:
veel mensen boren hun volle creativiteit niet aan, en halen wachtwoorden van internet af die ze nauwelijks wijzigen.
https://www.reddit.com/r/techsnap/comments/18ezb6/correct_horse_battery_staple_really_a_strong/
domdomdomdom...
Krakers kijken ook op internet, en zetten op internet gepubliceerde wachtwoorden en varianten direct in hun kraakwoordenboek of rainbowtabellen, omdat ze weten dat er altijd sufferds zijn die het overnemen of ten dele overnemen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.