Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

How a cheap graphics card could crack your password in under a second

[es] :: Security :: How a cheap graphics card could crack your password in under a second

[ Pregleda: 3721 | Odgovora: 9 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

bttp
Vračar

Član broj: 48840
Poruke: 1539
*.dynamic.sbb.rs.

ICQ: 8285806


+155 Profil

icon How a cheap graphics card could crack your password in under a second06.06.2011. u 22:45 - pre 155 meseci
Citat:
In this report, the author takes a fairly standard Radeon 5770 graphics card (you’ll find it on our A-List under Value Graphics Card), and uses a free tool called ighashgpu to run the brute-force password cracking tools on the GPU. To provide a comparison point with the capabilities of a standard desktop CPU, he uses a tool called “Cain & Abel”.

...The results are startling. Working against NTLM login passwords, a password of “fjR8n” can be broken on the CPU in 24 seconds, at a rate of 9.8 million password guesses per second. On the GPU, it takes less than a second at a rate of 3.3 billion passwords per second.

Increase the password to 6 characters (pYDbL6), and the CPU takes 1 hour 30 minutes versus only four seconds on the GPU. Go further to 7 characters (fh0GH5h), and the CPU would grind along for 4 days, versus a frankly worrying 17 minutes 30 seconds for the GPU.

What does this tell us? well, the stark reality is that even long and complex passwords are now toast. If you think you were being wise by forcing users to have randomisation in their passwords, then think again. It is utterly futile.




http://www.zdnet.com/blog/hard...strong-passwords-useless/13125

http://www.pcpro.co.uk/blogs/2...ur-password-in-under-a-second/
Sell 'crazy' some place else. We're all stocked up here.
 
Odgovor na temu

Ivan Dimkovic

Administrator
Član broj: 13
Poruke: 16683
*.dip.t-dialin.net.



+7169 Profil

icon Re: How a cheap graphics card could crack your password in under a second06.06.2011. u 23:49 - pre 155 meseci
Citat:

What are the solutions? To be honest, I’m not sure. A combination of TPM, biometrics, passwords and maybe something else entirely new will be needed. But it’s clear that a complex password that users will actually accept for day-to-day authentication, and keep secret, might be history.


Err... univerzalnije resenje je zameniti idiotske Microsoft igracke poput NTLM-a sa kriptografski jakim algoritmima. Dakle, u slucaju Windows infrastrukture u firmi koristiti AD koji koristi Kerberos a ne NTLM.

Za sigurnost fajl sistema klijentskih radnih stanica/notebook-a nije obavezno zahtevati TPM ili biometriju, pouzdana whole-disk enkripcija sasvim zadovoljavajuce radi posao ako je cilj sprecavanje intruzije i kradje podataka sa laptop HDD-ova npr... Sa totalnom enkripcijom svih medija se resava i problem pristupa lokalnim Windows hash-evima na laptopu/radnoj stanici posto bi napadac prvo morao da razbije FS enkripciju, a u slucaju AES-a mu ni sve graficke karte ovog sveta na gomili nece pomoci.

TPM i neki napredni EFI sa pre-boot menadzment f-jama nude dodatne pogodnosti za odrzavanje velikog broja racunara, tj. imaju smisla u velikim firmama.
DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator:
http://www.digicortex.net/node/1 Videos: http://www.digicortex.net/node/17 Gallery: http://www.digicortex.net/node/25
PowerMonkey - Redyce CPU Power Waste and gain performance! - https://github.com/psyq321/PowerMonkey
 
Odgovor na temu

bttp
Vračar

Član broj: 48840
Poruke: 1539
*.dynamic.sbb.rs.

ICQ: 8285806


+155 Profil

icon Re: How a cheap graphics card could crack your password in under a second07.06.2011. u 01:37 - pre 155 meseci
Da, samo nisu tu u pitanju samo korporativni sistemi i napredni korisnici. Koliko će običnih korisnika biti izloženo ovako lakom razbijanju lozinki? mislim da je poenta u tome da je sigurnost većine običnih korisnika "history", odnosno da lozinke na kakve se oslanja većina korisnika više ne predstavljaju prepreku zlonamernicima.
Sell 'crazy' some place else. We're all stocked up here.
 
Odgovor na temu

bojan_bozovic

Član broj: 29028
Poruke: 3292
*.dynamic.sbb.rs.

Sajt: angelstudio.org


+392 Profil

icon Re: How a cheap graphics card could crack your password in under a second07.06.2011. u 09:44 - pre 155 meseci
Radi se o tome da se koristi hash funkcija za pohranjivanje lozinki koji prostor lozinke smanjuje na prostor koji zauzima sama hash funkcija (samo 512 bita kod recimo SHA-512), tako da nema svrhe uopšte koristiti lozinku duzu od izvesne dužine k bita, jer SHA-512 nije bijekcija na lozinku (kako bi morao da bude block-cypher, simetrični ili ne). Pri nekoj dužini k ćeš jednostavno iscr4psti sve vrednosti koje hash funkcija (čak i SHA-512) zauzima. Što se simetričnog ili asimetričnog block cyphera tiče, dužina lozinke nije praktično ograničena.

Sad shvatate problem! A to je problem i sa bilo kojim drugim OS, jer je pohranjivanje lozinki hash funcijama fundamentalno loše rešenje. U budućnosti se autorizacija može vršiti na druge načine, mnogo većim dužinama lozinki. Možda nije praktično, sad, ali može biti u budućnosti. Recimo prst ubaciš u čitač i iskoristi 10MP sken tvoga desnog kažiprsta kao lozinku, šta ja znam...

Proveriću ovo čudo sa SHA1 i MD5 kolizijom. Za početak, nikad manje od 7 karaktera, i ubacujte naše znakove i ćirilicu u lozinke, jer stvar koristi samo redukovani alfabet po defaultu.

http://www.golubev.com/hashgpu.htm

Sad sam se prisetio malo, skup vrednosti hash funkcije nema kardinalnost skupa prirodnih brojeva, može i tako da se kaže, a nema bijekcije izmedju skupova koji nemaju istu kardinalnost. Da je šak i ta SHA-512 bezbedna zato što nije dokazano da nije, malo je sumnjivo, prosto rečeno.

EDIT: Ja još živim u 1989...

[Ovu poruku je menjao bojan_bozovic dana 07.06.2011. u 11:06 GMT+1]

[Ovu poruku je menjao bojan_bozovic dana 07.06.2011. u 11:06 GMT+1]
 
Odgovor na temu

EArthquake

Član broj: 20684
Poruke: 884
*.dynamic.sbb.rs.



+67 Profil

icon Re: How a cheap graphics card could crack your password in under a second07.06.2011. u 11:23 - pre 155 meseci
Kakav FUD...

NTLM i cuvanje passworda na forumima su jedna stvar

fora je u tome sto je SHA familija neverovatno brza, sto u primeni za cuvanje lozinki nije prednost

jedno od resenja je hash-vanje lozinke vise puta, kao u WPA recimo, 4096 puta hashuje...
pa to nek proba da BFa ...

i da , ok za 7 karaktera mu treba sat vremena, za 8 ce mu opet trebati mnogo vise, za vise od 10
je to opet mnooogo vremena za obicnog korisnika


inace, relativno je rasirena upotreba PASSPHRASEa , gde umesto lozinke koristite celu recenicu
koja je daleko duza

slazem se da povecanje brzina procesora dovodi do povecanja duzine lozinki
ali dok lozinke rastu linearno , keyspace za BF raste eksponencijalno....



@bojan_bozovic

u pravu si, bilo koja hash f-ja mapira bilo koju poruku na istu duzinu,
ali to opet ne predstavlja nikakav problem kod cuvanja lozinki

gde si ti koristio lozinku od 64 bajta koliko je SHA512 output?

a i da koristis vise, opet ne vidim kako to lose utice na sigurnost lozinke
napadac opet mora da BFa do duzine koje ti je lozinka

postojanje kolizija za neku hash funkciju opet ne utice na njenu sigurnost za cuvanje lozinki
jer, recimo, sa postojecim napadima na MD5 , daleko ti je , racunski, lakse da BFas lozinku od 10
karaktera , nego da trazis koliziju, koja uz to mora da se sastoji iz odredjenog niza znakova koje aplikacija podrzava za unos...

Da se razumemo, slazem se da lozinke nisu najsrecnije resenje , u to nema sumnje,
ali me FUD ovog tipa jako nervira, isto kao i ona prica da ce Lockheed Martin sad da razbija RSA kljuceve svojim novim kvantnim racunarom i da smo svi doomed...mozda hoce uskoro, ali ne jos:)

@Ivan
ispravi me ako gresim, ali AD opet koristi LM hasheve, samo sto su na AD serveru a ne na radnoj stanici
ako imas hash, crackovanje istog se ne razlikuje nimalo... doduse, doci do hash-a je druga prica

 
Odgovor na temu

bojan_bozovic

Član broj: 29028
Poruke: 3292
*.dynamic.sbb.rs.

Sajt: angelstudio.org


+392 Profil

icon Re: How a cheap graphics card could crack your password in under a second07.06.2011. u 11:40 - pre 155 meseci
Ne FUDujem, ako ti je bitno da onaj ko ti je ukrao laptop ne može da dodje do tvojih podataka, dovoljno je da koristiš full disk enkripciju, bilo koju. Sa next/next/fiunish lopov koji ima osnovnu školu, ili srednju možda, neće nikad doći do tvojih podataka. Ali ako te stvarno zanima bezbednost svojih podataka, jer ima nekih razloga, zašto i za koga, nije bitno i ne ulazim u to, možeš samo biti nesrećan današnjim rešenjem. Za 20 godina današnji enkripcioni sistemi će biti ono što je danas DES. Neko, medjutim, gura lošu enkripciju. Nema razloga da se ne koriste duži hashovi npr. a ne 512 bita. Koliko imaš terabajta na disku? Za sopstvene potrebe, DoD/NSA/CIA koriste 'undisclosed' protokole i algoritme za enkripciju, upitaj se zašto? Jer im treba. A meni će da uvaljuju TPM, npr, da postoji jedna HW implementacija koja je otvorena i izanalizirana da je korektna i kriptografski bezbedna od strane akadmske zajednice, okej, ali ne! Imam trusted third-party (i to ne jedan nego bilo koja firma koja implementira TPM) koji može da me i DRMuje (isti third-party kojem je jeftinije da koristi MD5 i SHA1 hashove jer je skupo da se stvari menjaju), to je problem! Ako niko za mene nije trusted šta onda?
 
Odgovor na temu

EArthquake

Član broj: 20684
Poruke: 884
*.dynamic.sbb.rs.



+67 Profil

icon Re: How a cheap graphics card could crack your password in under a second07.06.2011. u 11:49 - pre 155 meseci
Komentar za FUD nije bio upucen tebi, vec onom clanku , izvini na nesporazumu
hash od 512 bita je _danas_ dovoljan za sve

isto je i sa public key kriptografijom, faktorisali su kljuc od 768, ok sad se preporucuje koriscenje
kljuceva vecih od 2048...
za 20 godina necu koristiti ovo sto koristim danas...

to je lepota kriptografije, jedini deo informacione bezbednosti gde je sreca na strani onoga ko se stiti
ti malo povecas kljuc, a crackeru mnogo povecas vreme potrebno za razbijanje
 
Odgovor na temu

bttp
Vračar

Član broj: 48840
Poruke: 1539
*.dynamic.sbb.rs.

ICQ: 8285806


+155 Profil

icon Re: How a cheap graphics card could crack your password in under a second07.06.2011. u 15:51 - pre 155 meseci
Citat:
EArthquake: i da , ok za 7 karaktera mu treba sat vremena, za 8 ce mu opet trebati mnogo vise, za vise od 10
je to opet mnooogo vremena za obicnog korisnika

Pa nije sat vremena već 17,5 minuta i to sa Value GPU. To je ipak značajna razlika
Citat:
bojan_bozovic: Ako niko za mene nije trusted šta onda?

Onda praviš sopstvenu enkripciju.

Poenta ovog članka i teme nije FUD, već obznanjenje da lozinke kakve su danas najčešće u upotrebi jednostavno više nisu sigurne. Jes da gomila ljudi i dan danas koristi lozinke tipa pera123, ali čak i oni u koje spadam i ja, koji to malo zakomplikuju i produže, ne mogu da se pouzdaju u tu lozinku kao bezbednu, čak i od casual napada.

Korišćenje dugačkih passphrase-ova je spomenuto, i to je nepraktično jer većina ljudi ne mogu da zapamte odgovarajući passphrase, pa bi ga zapisivali, a čak i oni koji bi mogli da zapamte, mogu da zapamte eventualno 1 ili 2 bez zapisivanja.

Korišćenje 10Mpix skena otiska prsta kao autentifikaciju, nisam siguran dal je bez mana, jer šta ako recimo povrediš prst, posečeš se ili nešto? Onda ne možeš da pristupaš sopstvenom sistemu dok ne zaraste? Šta ako ostane ožiljak?.

Znači treba revidirati trenutni password policy, koji je opštezastupljen i uopšte authentification policy. U međuvremenu će ovi BF programčići koji koriste GPU za BF biti izvor zabave za decu i glavobolje za žrtve.

P.S. E da, rado bih ja koristio ćirilična slova u lozinci, ali šta ću kad treba da se prijavim odnekud gde nema instalirane ćirilične tastature tj. karakter-seta? To predstavlja problem.
Sell 'crazy' some place else. We're all stocked up here.
 
Odgovor na temu

bojan_bozovic

Član broj: 29028
Poruke: 3292
*.dynamic.sbb.rs.

Sajt: angelstudio.org


+392 Profil

icon Re: How a cheap graphics card could crack your password in under a second07.06.2011. u 17:18 - pre 155 meseci
Citat:
Onda praviš sopstvenu enkripciju.


Govorio sam o TPM. Dovoljan je review koda na greške i kriprtografsku bezbednost od strane onih koji to proučavaju u akademskim institucijama. Nemam PhD iz matematike i nisam specijalista za kriptografiju, tako da to ne mogu, medjutim TPM ne pruža ni to, jer je black box koji je potpuno nepoznat, ni HW implementacija ni kod (FPGA kod recimo) nisu analizirani niodkoga? I neko nas ne vuče za nos? Ali idem u offtopic.

Citat:
Poenta ovog članka i teme nije FUD, već obznanjenje da lozinke kakve su danas najčešće u upotrebi jednostavno više nisu sigurne. Jes da gomila ljudi i dan danas koristi lozinke tipa pera123, ali čak i oni u koje spadam i ja, koji to malo zakomplikuju i produže, ne mogu da se pouzdaju u tu lozinku kao bezbednu, čak i od casual napada.


Sa time se slažem, ako je hash dostupan i hash funkcija poznata. Hash, medjutim, može sam da se enkriptuje sa full disk enkripcijom. A zašto full disk enkripcija, ako 99% svojih podataka ne trebaš da držiš enkriptovanim? Zbog loše bezbednosti 'trusted third party'...


Citat:
Korišćenje dugačkih passphrase-ova je spomenuto, i to je nepraktično jer većina ljudi ne mogu da zapamte odgovarajući passphrase, pa bi ga zapisivali, a čak i oni koji bi mogli da zapamte, mogu da zapamte eventualno 1 ili 2 bez zapisivanja.


Jes' nego šta... Možda ovako?

ime-prezimemojeprvedevojke-telefonnekogakogapoznajem-ime-prezimepoznateličnostikojucenim-nekadesetareč

Ja sam koristim takve kobasice tamo gde ostavljam broj svoje kartice, još ubaciš ćirilično slovo ili neki specijalni znak da limitiraš, umesto '-', dolar, tarabu, nebitno. To ćeš zaboraviti teže nego pera123 (sem ako se ti ili neki rodjak/prijatelj ne zovete Pera). A da vidim bruteforce i pogadjanje toga! Ajd da vidim dictionary napad na to! Smor je menjanje sa ćirilice na latinicu, znam, ali kome treba, ne može reći nisam znao, mogao da zapamtim, itd.

Citat:
Korišćenje 10Mpix skena otiska prsta kao autentifikaciju, nisam siguran dal je bez mana, jer šta ako recimo povrediš prst, posečeš se ili nešto? Onda ne možeš da pristupaš sopstvenom sistemu dok ne zaraste? Šta ako ostane ožiljak?.


Kompjuter bi prepoznavao tvoj otisak prsta, takodje, mogao da izmeri tvoj puls, da te neko ne ukoka i ne prinese tvoj prst skeneru. Može to da se iskombinuje i sa klasičnom lozinkom, a ima i drugih načina. Sve se to koristi i danas, u državnim službama (vojska, obaveštajna služba itd.) uz fizičko obezbedjenje kompjutera. Ništa to nije novo.

Citat:
Znači treba revidirati trenutni password policy, koji je opštezastupljen i uopšte authentification policy. U međuvremenu će ovi BF programčići koji koriste GPU za BF biti izvor zabave za decu i glavobolje za žrtve.


Nego šta, trenutni password policy je loš. Zaboga, neko ko te zna ode na Google, unese odgovor na tajno pitanje jer zna (recimo gde ti je rodjen otac ili sl. glupost) i udje na tvoj nalog. Naravno, ili ne koristi tajno pitanje, ili daj bezveze odgovor koji samo ti znaš. Kad je tako za Google, koliko će se brinuti neki običan čovek?

Citat:
P.S. E da, rado bih ja koristio ćirilična slova u lozinci, ali šta ću kad treba da se prijavim odnekud gde nema instalirane ćirilične tastature tj. karakter-seta? To predstavlja problem.


Predstavlja problem većini čovečanstva a ne manjini, jer samo manjina koristi engleski alfabet. Ogromna većina ostalih koristi bar poneki znak koga nema u engleskom alfabetu. A Amerikanac i ruska tastaura, ili japanska? Kad sad imamo i domene u UTF-8, ne vidim kako lozinke bitnije menjaju stvar. Hoćeš na kineski ftp tipa ftp.kineskiovde.com? Ajd' kucaj!

[Ovu poruku je menjao bojan_bozovic dana 07.06.2011. u 18:34 GMT+1]
 
Odgovor na temu

ac1bd4
Stara Pazova

Član broj: 76735
Poruke: 437
*.dynamic.isp.telekom.rs.



+35 Profil

icon Re: How a cheap graphics card could crack your password in under a second07.06.2011. u 22:01 - pre 155 meseci
A šta ćemo sa kvantnim računarom?
 
Odgovor na temu

[es] :: Security :: How a cheap graphics card could crack your password in under a second

[ Pregleda: 3721 | Odgovora: 9 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.