Seuraa 
Viestejä45973

http://sektori.com/uutinen/ssdlevyt-nop ... ojen/9286/

Current fastest supercomputer system
A Blue Gene/P node card

In November 2009, the AMD Opteron-based Cray XT5 Jaguar at the Oak Ridge National Laboratory was announced as the fastest operational supercomputer, with a sustained processing rate of 1.759 PFLOPS.

1.759 PFLOPS on 1 759 000 000 000 laskutoimitusta sekunnissa. Brute Forcella se siis kävisi laajimmalla merkistöllä [96c] 14-merkkisen salasanan kaikki vaihtoehdot läpi noin puolessatoista tunnissa? Ja nuo onnistuivat mylläämään sen auki 5.3 sekunnissa? Ehkä käytössä ei ollut yhtä laajaa merkistöä?

Joka tapauksessa, 64-merkkisen [96c] salasanan korkkaamiseen menisi kyseisellä myllyllä 5E53 vuotta.

Kommentit (19)

V.A.Littaa
Seuraa 
Viestejä873

Kahden väärän salasanan jälkeen mikään (myöskään oikea) salasana ei kelpaa ennen kun on mennyt (esimerkiksi) viisi minuuttia niin ettei yhtäkään yritystä oikealla tai väärällä salasanalla ole tehty. Täten brute force menettää tiedon siitä onko oikeaa salasanaa jo käytetty.

Kun tuota menetelmää ei voida hyödyntää, jos salasana halutaan saada muutoin kuin vittuilumielessä tai amatöörien toimesta käsiin. Ei kukaan sitä ala syöttämään vaihtoehtoja mihinkään graafiseen konsoliin, salauskoodi tai salasanan hash avataan koodimuotoon, se syötetään ohjelmalle ja ohjelma valjastaa suorittimen kokeilemaan kaikki kuviteltavissa olevat vaihtoehdot läpi. Nopeimmillakaan graafisilla, esimerkiksi FDE-konsolillakaan ei saavuteta kuin muutamien kymmenien tai satojen salasanojen sekuntinopeuksia.

Sisältö jatkuu mainoksen alla
Sisältö jatkuu mainoksen alla

Windowsin paskan salasanan kryptauksen murtaminen Rainbow taulukoiden avulla siis on onnitunut tuossa 5.3 sekunnissa, näin tuon luen. Itsekin tuota tehnyt, kun pitänyt koneita saada auki syystä tai toisesta ja ollut nuo ulkoisella kiintolevyllä mukana, tosin vain 130 Gt taulukoita.

Tuo Windowsin LM-hashin (http://en.wikipedia.org/wiki/LM_hash) murtaminen kun on hyvin triviaalia brute forcella. Luetaan hash ja etsitään sitten kokeilemalla että mikä tuottaa kyseisen hash arvon. Ei siinä tartte kokeilla mitään salasanoja itse järjestelmään, vaan murto voidaan tehdä offline tilassa.

V.A.Littaa
Seuraa 
Viestejä873
Bushmaster
salauskoodi tai salasanan hash avataan koodimuotoon, se syötetään ohjelmalle ja ohjelma valjastaa suorittimen kokeilemaan kaikki kuviteltavissa olevat vaihtoehdot läpi. Nopeimmillakaan graafisilla, esimerkiksi FDE-konsolillakaan ei saavuteta kuin muutamien kymmenien tai satojen salasanojen sekuntinopeuksia.

Mitä väliä on kräkkääjän nopeudella jos vastaanottaja (siis salasanaa vaativa järjestelmä) ei ole kiinnostunut edes tarkistamaan tarjoutun salasanan oikeellisuutta, vaan kertoo autromaattisesti salasanan olevan väärä (siis ennen kun on pidetty esimerkiksi minuutin luova tauko).

Tässä puhutaan nyt oletusarvoisesti skenaariosta, jossa järjestelmä on kryptattu ja se on pöydällä hallussa ja se täytyy saada auki(=luettavaan formaattiin) hinnalla millä hyvänsä. Ei sitä RuneScapen magic-loggeria.

Bushmaster

Joka tapauksessa, 64-merkkisen [96c] salasanan korkkaamiseen menisi kyseisellä myllyllä 5E53 vuotta.



Kuten tuossa jo kerroit, riittävän pitkällä salasanalla.

Lisäys: Kryptaustavalla on toki oma merkityksensä.

Bushmaster
Tässä puhutaan nyt oletusarvoisesti skenaariosta, jossa järjestelmä on kryptattu ja se on pöydällä hallussa ja se täytyy saada auki(=luettavaan formaattiin) hinnalla millä hyvänsä. Ei sitä RuneScapen magic-loggeria.

Minä käytän tätä: http://pogostick.net/~pnh/ntpasswd/

Tähän mennessä kaikki saatu auki parissa minuutissa

Viinankylväjä
Seuraa 
Viestejä476
mensaani
Bushmaster
Tässä puhutaan nyt oletusarvoisesti skenaariosta, jossa järjestelmä on kryptattu ja se on pöydällä hallussa ja se täytyy saada auki(=luettavaan formaattiin) hinnalla millä hyvänsä. Ei sitä RuneScapen magic-loggeria.

Minä käytän tätä: http://pogostick.net/~pnh/ntpasswd/

Tähän mennessä kaikki saatu auki parissa minuutissa




Pöllitkö työksesi tietokoneita, vai miksi noita enemmänkin olet aukonut?

ykskivi
Seuraa 
Viestejä1972

Käytä salaukseen älykortilla luotua varmennetta.

To refuse a hearing to an opinion, because one is sure that it is false, is to assume that one's own certainty is the same thing as absolute certainty. All silencing of discussion is an assumption of infallibility. - John Stuart Mill -

mensaani
Bushmaster
Tässä puhutaan nyt oletusarvoisesti skenaariosta, jossa järjestelmä on kryptattu ja se on pöydällä hallussa ja se täytyy saada auki(=luettavaan formaattiin) hinnalla millä hyvänsä. Ei sitä RuneScapen magic-loggeria.

Minä käytän tätä: http://pogostick.net/~pnh/ntpasswd/

Tähän mennessä kaikki saatu auki parissa minuutissa




Wintoosassa onkin joku 16-bittinen "kryptaus" omille passuilleen. Tässä puhuttiin erillisestä kryptauksesta.

10 vuoden aikana ei kukaan ole vielä korkannut 256-AES:ää. Voit toki yrittää vapaasti.

Viinankylväjä
Minä käytän tätä: http://pogostick.net/~pnh/ntpasswd/

Tähän mennessä kaikki saatu auki parissa minuutissa


Pöllitkö työksesi tietokoneita, vai miksi noita enemmänkin olet aukonut?[/quote]
Taitaa tehdä samaa kuin minäkin, eli korjailee tuttujensa koneita huvikseen/työkseen Ei ole kerta tai kaks kun on salasana unohtunut, yleensä vaihtamisen jälkeen

Paul M
Seuraa 
Viestejä8643

Voisi tehdä virallisen näköisen sivun, jossa voi syöttää salasanansa ja pankkiryhmän tai muun ryhmän pieniin ruutuihin. Systeemi ilmoittaa sitten kyselijälle onko salasana vuotanut.

Pankkitunnuksissa on minulla vanha muistikuva. Pari kertaa nettipankkien aamunkoitossa kävi niin, että systeemi ilmoitti "Kolme väärää, ota yhteys pankkiisi". Siis oman tunnuksen kanssa sohlatessa.

Tuollaiseen murtamiseen oikotie on helpompi eli kysyy suoraan niiltä jotka eivät asiaa ymmärrä.

Hiirimeluexpertti. Majoneesitehtailija. Luonnontieteet: Maailman suurin uskonto. Avatar on halkaistu tykin kuula

Surullisinta tuossa älypää sivuston ylläpidossa oli se, että sähköpostiosoitteet/salasanat on yleensäkään saatu näkyville. Ei vissiin ollut minkäänlaista tunnusten sotkemista ( salt +hash ) käytössä.

Mistä näitä pellejä oikein tulee?

V.A.Littaa
Seuraa 
Viestejä873

Eipä laajan yleisön webbiajan internetkuplahuumassa taidettu hokata miten arvokasta valuuttaa salasana+tunnus yhdistelmät on. Tuollaisessa leikkipalvelussa kun nyt ei itsessään pääse mitään vahinkoa tulemaan. Nykyään ollee jo itsestään selvä että uusissa www-sivuohjelmistoissa tietokantoihin ei tallenneta salasanoja ollenkaan, eli pelkästään salasanan matemaattinen "tarkiste" jota ei kai millään pysty palauttamaan takaisin salasanaksi.

Viinankylväjä
mensaani
Minä käytän tätä: http://pogostick.net/~pnh/ntpasswd/
Tähän mennessä kaikki saatu auki parissa minuutissa

Pöllitkö työksesi tietokoneita, vai miksi noita enemmänkin olet aukonut?

Teen sitä lähinnä huvikseni, täällä kolossa.

Pari kertaa on sattunut, että joku nyysijä on tuonut koneen korkattavaksi. Molemmilla kerroilla löysin helposti koneen omistajan; Tokalla kertaa luulin, että asia oli pihvi, mutta sitten poliisi soitti asiasta ja pian sen jälkeen omistaja, joka oli ollut poissa Suomesta.. Koneiden tuojat jostain syystä osasivat epäillä jäävänsä kiinni, joten sain palauttaa koneet omistajilleen .. korkattuina.

Nyt ei ole vuoteen kukaan enää tuonut koneitaan avattavaksi

V.A.Littaa
Eipä laajan yleisön webbiajan internetkuplahuumassa taidettu hokata miten arvokasta valuuttaa salasana+tunnus yhdistelmät on.



Siinä tapauksessa passujen haksausta ei olisi pitänyt julkistaa. Listasta on hyötyä vain, kun uhrit eivät tiedä joutuvansa laajamittaisen tietomurron kohteeksi, kun vasta viimein joukon herkkähipiäisin avaa alueelle ketjun, että paypalit, spostit ja muut on kaikki tyhjennetty ja accot viety ja kas kummaa, niin on sadoilta muiltakin käyttäjiltä..

V.A.Littaa
Nykyään ollee jo itsestään selvä että uusissa www-sivuohjelmistoissa tietokantoihin ei tallenneta salasanoja ollenkaan, eli pelkästään salasanan matemaattinen "tarkiste" jota ei kai millään pysty palauttamaan takaisin salasanaksi.

Ei tosiaan suoraan pysty, mutta hyvä Rainbow taulukko avaa valtaosan lyhyistä/huonoista salasanoista. Siinä etsitään tuon tiivisteen arvoa ja katsotaan sitten taulukosta että millä se on saatu aikaiseksi.

Tiedän tasan yhden paikan, jossa työntekijöiden salasanat (tai niiden tiivisteet oikeastaan) ajetaan IT-puolen toimesta läpi muutamista sanakirjoista, Rainbow-taulukoista ja hieman varioiden, jolloin käytännössä pakotetaan valitsemaan hyvä salasana.

Jos tiivisteeseen on laskettu mukaan tarpeeksi iso suola, esim. 128 bittinen, ei esilasketuista taulukoista ole mitään hyötyä. Lisäksi jos tiivistefunktio iteroi vaikka 10000 kertaa salasanan ja suolan lävitseen, niin murtamiseen alkaa kulua jo sekuntiluokkaa per salasana.

Suosituimmat

Uusimmat

Sisältö jatkuu mainoksen alla

Suosituimmat