Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Čemu služi beleženje lozinki u kriptovanom obliku pomoću heš funkcija?

[es] :: Security :: Kriptografija i enkripcija :: Čemu služi beleženje lozinki u kriptovanom obliku pomoću heš funkcija?

Strane: 1 2

[ Pregleda: 6660 | Odgovora: 36 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

Nedeljko
Nedeljko Stefanović

Član broj: 314
Poruke: 8377
*.teletrader.com.



+2716 Profil

icon Čemu služi beleženje lozinki u kriptovanom obliku pomoću heš funkcija?28.12.2010. u 12:40 - pre 117 meseci
Zamislimo sledeći scenario:

Admin hoće neovlašćeno da petlja po mom nalogu. On uvek može lako da promeni moju šifru i da se uloguje pod novom, s tim da onda ostavlja trag zločina u vidu promenjene šifre. Međutim, pre nego što promeni lozinku, on pročita iz fajla sa lozinkama heš moje lozinke i prepiše ga na neki papir. Nakon što je promenio lozinku i neovlašćeno petljao po mom nalogu, on u fajl sa lozinkama vrati stari heš i time stara lozinka postane važeća, čime je uništio trag zločina za sobom.

Zamislimo da to hoće da uradi neko drugi, ko nije admin, a ima fizički pristup računaru. Izvadiće hard disk, priključiti ga na svoj računar, pristupiti operacijama nad diskom niskog nivoa fajlu sa heševima lozinki i opet se ponavlja sličan scenario, s tim da umesto alata za promenu lozinke u fajl sa heševima lozinki unosi heš od nekog stringa koji je izabrao, čime je taj string postao nova važeća lozinka. Pomoću nje se loguje kao ja, a kasnije vraća stari heš da bi počistio tragove za sobom.

Zamislimo sada scenario gde se veruje adminu, a potencijalni napadač nema fizički pristup računaru. Onda je ovakav napad nemoguć, ali ne zbog heša, već bi i pamćenje lozinki u nekriptovanom obliku u ovom slučaju bilo dovoljno.

Čemu onda služi pamćenje heševa lozinki umesto samih lozinki? U kojem scenariju to poboljšava sigurnost?
Nije bitno koji su zaključci izvučeni, već kako se do njih došlo.
 
Odgovor na temu

Tyler Durden
Tyler Durden
Beograd

Član broj: 4312
Poruke: 3379
*.verat.net.



+1365 Profil

icon Re: Čemu služi beleženje lozinki u kriptovanom obliku pomoću heš funkcija?28.12.2010. u 13:07 - pre 117 meseci
U situaciji kada ti neko ukrade te lozinke, onda ih bruteforce-uje i nakon toga opusteno pristupa tim nalozima kao da se radi o regularnim korisnicima. A pri tom to ne znaju ni admin ni vlasnik naloga.
To je jedan od slucajeva npr.
Beneath civilization's fragile crust, cold chaos churns...
 
Odgovor na temu

acatheking
Aleksandar Ristić
Beograd/Mirijevo

Član broj: 6769
Poruke: 1133
*.absolutok.com.



+28 Profil

icon Re: Čemu služi beleženje lozinki u kriptovanom obliku pomoću heš funkcija?28.12.2010. u 13:20 - pre 117 meseci
Hm, kad je neko admin, sve mu je dozvoljeno, ovaj scenario koji si naveo je skroz realan.
Cuvanje hesh vrednosti u ovom slucaju ne dopirnosi sigurnosti, ali samo onemogucava adminu da bas sazna koja je lozinka.
Volim da se vozim grackim autobusom.
Gracki autobus jede sitne pare,
gracki autobus zna kad treba stane.
 
Odgovor na temu

Nedeljko
Nedeljko Stefanović

Član broj: 314
Poruke: 8377
*.teletrader.com.



+2716 Profil

icon Re: Čemu služi beleženje lozinki u kriptovanom obliku pomoću heš funkcija?28.12.2010. u 14:25 - pre 117 meseci
Citat:
Tyler Durden: U situaciji kada ti neko ukrade te lozinke, onda ih bruteforce-uje i nakon toga opusteno pristupa tim nalozima kao da se radi o regularnim korisnicima. A pri tom to ne znaju ni admin ni vlasnik naloga.
To je jedan od slucajeva npr.


Aha, ovako bi morao svaki put da fizički pristupa računaru i kopa po kućištu, a recimo da nema uvek tu priliku. Prilično mala vajda od heševa.

Citat:
acatheking: Cuvanje hesh vrednosti u ovom slucaju ne dopirnosi sigurnosti, ali samo onemogucava adminu da bas sazna koja je lozinka.


Koja mu nije ni potrebna.
Nije bitno koji su zaključci izvučeni, već kako se do njih došlo.
 
Odgovor na temu

djoka_l
Beograd

Član broj: 56075
Poruke: 2875



+1186 Profil

icon Re: Čemu služi beleženje lozinki u kriptovanom obliku pomoću heš funkcija?28.12.2010. u 14:31 - pre 117 meseci
Citat:
Nedeljko:
Zamislimo sada scenario gde se veruje adminu, a potencijalni napadač nema fizički pristup računaru. Onda je ovakav napad nemoguć, ali ne zbog heša, već bi i pamćenje lozinki u nekriptovanom obliku u ovom slučaju bilo dovoljno.

Čemu onda služi pamćenje heševa lozinki umesto samih lozinki? U kojem scenariju to poboljšava sigurnost?


Ako potencijalni napadač nema pristup računaru i verujemo administratoru, šta će nam onda uopšte lozinke?
 
Odgovor na temu

mmix
Miljan Mitrović
Profesorkin muz
Passau, Deutschland

SuperModerator
Član broj: 17944
Poruke: 6004



+4616 Profil

icon Re: Čemu služi beleženje lozinki u kriptovanom obliku pomoću heš funkcija?28.12.2010. u 14:48 - pre 117 meseci
Ok, za pocetak premisa ti je malo iskrivljena.

Ako za trenutak zanemarimo fizicki pristup, u svakom iole ozbiljnom OSu takvo unistavanje dokaza je neizvodljivo bez pisanog traga. Admin u takvom sistemu ne moze tek tako da usnimi stari hash u sec bazu jer ista njemu nije logicki dostupna za pisanje nista vise nego sto je dostupna drugom useru. Obicno se to implementira kao exclusive lock u kernelu i centralizovani upis/zapis kroz neki API. Dakle jedini nacin da admin ubaci stari hash umesto novog koji je napravio promenivsi lozinku je da ZNA plaintext stare lozinke )cto ceo proces zamene passworda cini nepotrebnom). Ako se secas svojevremeno je postojala alatka zvana l0phtCrack cija je to bila namena (iz WIndows NT SAM baze je cupao DES hasheve i onda bruteforceovao lozinke da otkrije plaintext). A cak iako zna stari plaintext audit pamti sve akcije i jedini nacin da admin sakrije sta je radio je da obrise logove (za sta opet postoji pisani trag). A jedini nacin da admin napravi neko sra*je a da se to ne moze povezati sa njim ni na koji nacin je da ZNA unapred tvoju plaintext lozinku i zato se ona ne pamti. Dakle HASH zato sto NE VERUJEMO adminima na rec kao generalno pravilo.

E sad, fizicki pristup, to je posebna kategorija, lock vise ne vazi (i za l0phtcrack si morao da rebootujes sistem van windowsa i da mountujes sistemski disk i da napravis kopiju SAMa). Svako ce ti reci da jednostavno taj nivo sigurnosti ne postoji sem sa nekom preboot kriptografijom (tipa truecrypt, ali i sa true crypt ne sprecavas admina koji zna preboot password da disk mountuje na drugoj masini, sprecavas samo nekog ko ukrade/iskopira sa strane). Sve ostalo se moze uz manje ili vise umesnosti iscupati iz sistema, cak i signing algoritmi tu ne rade jer negde mora da bude i signing kljuc, itd, itd. Tu leka jednostavno nema i zato je vazna kontrola fizickog pristupa AD/LDAP/DC masinama. Nista se nije promenilo na tom polju decenijama, cike sa puskama su i dalje najbolji firewall

Sloba je za 12 godina promenio antropološki kod srpskog naroda. On je od jednog naroda koji je bio veseo, pomalo površan, od jednog naroda koji je bio znatiželjan, koji je voleo da vidi, da putuje, da upozna,
od naroda koji je bio kosmopolitski napravio narod koji je namršten, mrzovoljan, sumnjicav, zaplašen, narod koji se stalno nešto žali, kome je stalno neko kriv… - Z.Đinđić
 
Odgovor na temu

Nedeljko
Nedeljko Stefanović

Član broj: 314
Poruke: 8377
*.teletrader.com.



+2716 Profil

icon Re: Čemu služi beleženje lozinki u kriptovanom obliku pomoću heš funkcija?28.12.2010. u 14:48 - pre 117 meseci
Nema fizički pristup računaru, ali može da pokuša da se loguje na njega kao udaljeni računar preko mreže.
Nije bitno koji su zaključci izvučeni, već kako se do njih došlo.
 
Odgovor na temu

Nedeljko
Nedeljko Stefanović

Član broj: 314
Poruke: 8377
*.teletrader.com.



+2716 Profil

icon Re: Čemu služi beleženje lozinki u kriptovanom obliku pomoću heš funkcija?28.12.2010. u 14:58 - pre 117 meseci
Citat:
mmix: Admin u takvom sistemu ne moze tek tako da usnimi stari hash u sec bazu jer ista njemu nije logicki dostupna za pisanje nista vise nego sto je dostupna drugom useru. Obicno se to implementira kao exclusive lock u kernelu i centralizovani upis/zapis kroz neki API.


Isto to bi bilo primenljivo i kada bi se pamtila sama lozinka umesto heša. Sistem neće nikome, pa ni adminu da kaže lozinku koju (sistem) zna. Nema pristupa niskog nivoa disku nisakakvim privilegijama zato što je takva logika sistema i to je sve.

U tom scenariju opet ne vidim funkciju heša.
Nije bitno koji su zaključci izvučeni, već kako se do njih došlo.
 
Odgovor na temu

mmix
Miljan Mitrović
Profesorkin muz
Passau, Deutschland

SuperModerator
Član broj: 17944
Poruke: 6004



+4616 Profil

icon Re: Čemu služi beleženje lozinki u kriptovanom obliku pomoću heš funkcija?28.12.2010. u 15:35 - pre 117 meseci
Pa imas i taj aspekt masovne keadje lozinki pri fizickom pristupu. Ti polazis od stanovista da napadac ima visestruki pristup da moze da odradi tvoj scenario. A ako ima one-time priliku za fizicki pristup nece raditi to sto si naveo vec ce marnuti SAM bazu. Uz dobar password reset policy dok napadac bruteforce-uje lozinke one ce sve vec biti promenjene. Ako su plaintext ima ih odmah na raspolaganju.


Sloba je za 12 godina promenio antropološki kod srpskog naroda. On je od jednog naroda koji je bio veseo, pomalo površan, od jednog naroda koji je bio znatiželjan, koji je voleo da vidi, da putuje, da upozna,
od naroda koji je bio kosmopolitski napravio narod koji je namršten, mrzovoljan, sumnjicav, zaplašen, narod koji se stalno nešto žali, kome je stalno neko kriv… - Z.Đinđić
 
Odgovor na temu

EArthquake

Član broj: 20684
Poruke: 884
*.dynamic.sbb.rs.



+67 Profil

icon Re: Čemu služi beleženje lozinki u kriptovanom obliku pomoću heš funkcija?29.12.2010. u 11:10 - pre 117 meseci
upravo tako

generalna ideja je da , ako dodje do proboja sigurnosti, napadac ne moze direktno da povrati sifru
koju korisnik potencijalno koristi na jos n mesta (svi to rade), vec mora da bruteforce-uje , ako vec moze da "digne" hash-eve , moze i da ih promeni , ali to se da primetiti
ali cak i u tom slucaju , napadac je ogranicen na iskoriscavanje proboja sigurnosti samo na datu aplikaciju/sistem , u slucaju plain text sifri , napadac "dignute" sifre moze da koristi za druge aplikacije/sisteme na kojima je korisnik koristio istu sifru (realno cest slucaj kod manje opreznih korisnika, koji su u vecini)



inace, l0phtcrack je vaskrso , sada ga naplacuju ... mada mi nikada nije bio jasan hype oko te alatke ...

evo jos jednog interesantnog pitanja za razmisljanje,

svi browseri enkriptuju sifre koje im kazete da zapamte pri logovanju na neki sajt
ali nema nikakve tajne za dekripciju (osim ako ste postavili master password u firefoxu recimo)
ko god dodje do baze sa enkriptovanim siframa , dekriptuje bez bruteforce-a
koja je ovde poenta?

jednostavno , dodatni nivo (doduse tanak kao palacinka) sigurnosti


edit:
hmm , interesantno , chrome to radi pomocu CryptProtectData win APIa
znaci vezuje ga za masinu i user-a slicno kao enkriptovanje datoteka na NTFSu
ne znam za ostale
 
Odgovor na temu

Nedeljko
Nedeljko Stefanović

Član broj: 314
Poruke: 8377
*.teletrader.com.



+2716 Profil

icon Re: Čemu služi beleženje lozinki u kriptovanom obliku pomoću heš funkcija?29.12.2010. u 13:43 - pre 117 meseci
Citat:
EArthquake: upravo tako

generalna ideja je da , ako dodje do proboja sigurnosti, napadac ne moze direktno da povrati sifru
koju korisnik potencijalno koristi na jos n mesta (svi to rade), vec mora da bruteforce-uje , ako vec moze da "digne" hash-eve , moze i da ih promeni , ali to se da primetiti


Pa, može. Vraćanjem starog heša u bazu stara lozinka postaje važeća.
Nije bitno koji su zaključci izvučeni, već kako se do njih došlo.
 
Odgovor na temu

EArthquake

Član broj: 20684
Poruke: 884
*.dynamic.sbb.rs.



+67 Profil

icon Re: Čemu služi beleženje lozinki u kriptovanom obliku pomoću heš funkcija?29.12.2010. u 14:18 - pre 117 meseci
da, moja poenta je bila zastita lozinki , koje se cesto koriste na vise mesta ...
cuvas klijenta od sopstvene gluposti
 
Odgovor na temu

Nedeljko
Nedeljko Stefanović

Član broj: 314
Poruke: 8377
*.teletrader.com.



+2716 Profil

icon Re: Čemu služi beleženje lozinki u kriptovanom obliku pomoću heš funkcija?29.12.2010. u 15:50 - pre 117 meseci
Da.
Nije bitno koji su zaključci izvučeni, već kako se do njih došlo.
 
Odgovor na temu

maksvel

Član broj: 107376
Poruke: 2416

Jabber: maksvel
Sajt: maksvel.in.rs


+161 Profil

icon Re: Čemu služi beleženje lozinki u kriptovanom obliku pomoću heš funkcija?29.12.2010. u 16:05 - pre 117 meseci
A + je dobro koristiti password salting. Ako na neki način napadač dođe do hash-a passworda, bruteforce će ići "malo" teže.
Naravno, podrazumeva se da napadač nije došao u posed samog salt-a.
 
Odgovor na temu

Tyler Durden
Tyler Durden
Beograd

Član broj: 4312
Poruke: 3379
*.adsl.verat.net.



+1365 Profil

icon Re: Čemu služi beleženje lozinki u kriptovanom obliku pomoću heš funkcija?29.12.2010. u 21:23 - pre 117 meseci
Koliko ja kapiram, salt ne pomaze nesto posebno kod bruteforce napada vec iskljucivo sprecava koriscenje rainbow tabela.
Za dodatno otezavanje bruteforce moze da se koristi key stretching. Jedan od najboljih algoritama je bcrypt razvijen od OpenBSD ekipe.
Beneath civilization's fragile crust, cold chaos churns...
 
Odgovor na temu

mmix
Miljan Mitrović
Profesorkin muz
Passau, Deutschland

SuperModerator
Član broj: 17944
Poruke: 6004



+4616 Profil

icon Re: Čemu služi beleženje lozinki u kriptovanom obliku pomoću heš funkcija?29.12.2010. u 21:43 - pre 117 meseci
Da, u ovom slucaju salt ne pomaze jer kako napadac pokrade hasheve pokrasce i saltove. Salt ima veoma specifican scenario koriscenja koji podrazumeva da user zna lozinku a da se hash koristi u "divljini" (npr web cookie, state i slicno)
Sloba je za 12 godina promenio antropološki kod srpskog naroda. On je od jednog naroda koji je bio veseo, pomalo površan, od jednog naroda koji je bio znatiželjan, koji je voleo da vidi, da putuje, da upozna,
od naroda koji je bio kosmopolitski napravio narod koji je namršten, mrzovoljan, sumnjicav, zaplašen, narod koji se stalno nešto žali, kome je stalno neko kriv… - Z.Đinđić
 
Odgovor na temu

maksvel

Član broj: 107376
Poruke: 2416

Jabber: maksvel
Sajt: maksvel.in.rs


+161 Profil

icon Re: Čemu služi beleženje lozinki u kriptovanom obliku pomoću heš funkcija?29.12.2010. u 21:52 - pre 117 meseci
Ako npr. kompromituje bazu sa hashevima, a salt se nalazi u fajlu do kojeg ne može doći (tek tako), onda nema 'leba.
 
Odgovor na temu

Wi-Fi

Član broj: 260194
Poruke: 195
*.dynamic.isp.telekom.rs.



+207 Profil

icon Re: Čemu služi beleženje lozinki u kriptovanom obliku pomoću heš funkcija?30.12.2010. u 01:07 - pre 117 meseci
Citat:
EArthquake:
svi browseri enkriptuju sifre koje im kazete da zapamte pri logovanju na neki sajt
ali nema nikakve tajne za dekripciju (osim ako ste postavili master password u firefoxu recimo)
ko god dodje do baze sa enkriptovanim siframa , dekriptuje bez bruteforce-a

I master pass mora da se ukuca da bi se koristili ostali, tako da ako neko vec ima pristup ostalim, nije mu problem ni da pomocu npr. keylogger-a otkrije master...
 
Odgovor na temu

Nedeljko
Nedeljko Stefanović

Član broj: 314
Poruke: 8377
*.teletrader.com.



+2716 Profil

icon Re: Čemu služi beleženje lozinki u kriptovanom obliku pomoću heš funkcija?30.12.2010. u 10:20 - pre 117 meseci
Citat:
maksvel: Ako npr. kompromituje bazu sa hashevima, a salt se nalazi u fajlu do kojeg ne može doći (tek tako), onda nema 'leba.


A kada je to u praksi slučaj?
Nije bitno koji su zaključci izvučeni, već kako se do njih došlo.
 
Odgovor na temu

EArthquake

Član broj: 20684
Poruke: 884
*.dynamic.sbb.rs.



+67 Profil

icon Re: Čemu služi beleženje lozinki u kriptovanom obliku pomoću heš funkcija?30.12.2010. u 12:52 - pre 117 meseci

nikad veroavtno,

kao sto je vec receno , salt je tu da stiti samo od rainbow tabela ,ne sprecava bruteforce

Citat:
Wi-Fi: I master pass mora da se ukuca da bi se koristili ostali, tako da ako neko vec ima pristup ostalim, nije mu problem ni da pomocu npr. keylogger-a otkrije master...


ne mora da znaci, mozda je db s lozinkama pokupio sa diska van sistema
ako ima keylogger, ni ne treba mu da skuplja sifre zar ne?
 
Odgovor na temu

[es] :: Security :: Kriptografija i enkripcija :: Čemu služi beleženje lozinki u kriptovanom obliku pomoću heš funkcija?

Strane: 1 2

[ Pregleda: 6660 | Odgovora: 36 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.