Salasanojen Murtaminen (eli miten estää se)

Seuraa 
Viestejä45973
Liittynyt3.9.2015

http://sektori.com/uutinen/ssdlevyt-nop ... ojen/9286/

Current fastest supercomputer system
A Blue Gene/P node card

In November 2009, the AMD Opteron-based Cray XT5 Jaguar at the Oak Ridge National Laboratory was announced as the fastest operational supercomputer, with a sustained processing rate of 1.759 PFLOPS.

1.759 PFLOPS on 1 759 000 000 000 laskutoimitusta sekunnissa. Brute Forcella se siis kävisi laajimmalla merkistöllä [96c] 14-merkkisen salasanan kaikki vaihtoehdot läpi noin puolessatoista tunnissa? Ja nuo onnistuivat mylläämään sen auki 5.3 sekunnissa? Ehkä käytössä ei ollut yhtä laajaa merkistöä?

Joka tapauksessa, 64-merkkisen [96c] salasanan korkkaamiseen menisi kyseisellä myllyllä 5E53 vuotta.

Sivut

Kommentit (19)

V.A.Littaa
Seuraa 
Viestejä873
Liittynyt1.4.2008

Kahden väärän salasanan jälkeen mikään (myöskään oikea) salasana ei kelpaa ennen kun on mennyt (esimerkiksi) viisi minuuttia niin ettei yhtäkään yritystä oikealla tai väärällä salasanalla ole tehty. Täten brute force menettää tiedon siitä onko oikeaa salasanaa jo käytetty.

Vierailija

Kun tuota menetelmää ei voida hyödyntää, jos salasana halutaan saada muutoin kuin vittuilumielessä tai amatöörien toimesta käsiin. Ei kukaan sitä ala syöttämään vaihtoehtoja mihinkään graafiseen konsoliin, salauskoodi tai salasanan hash avataan koodimuotoon, se syötetään ohjelmalle ja ohjelma valjastaa suorittimen kokeilemaan kaikki kuviteltavissa olevat vaihtoehdot läpi. Nopeimmillakaan graafisilla, esimerkiksi FDE-konsolillakaan ei saavuteta kuin muutamien kymmenien tai satojen salasanojen sekuntinopeuksia.

Vierailija

Windowsin paskan salasanan kryptauksen murtaminen Rainbow taulukoiden avulla siis on onnitunut tuossa 5.3 sekunnissa, näin tuon luen. Itsekin tuota tehnyt, kun pitänyt koneita saada auki syystä tai toisesta ja ollut nuo ulkoisella kiintolevyllä mukana, tosin vain 130 Gt taulukoita.

Tuo Windowsin LM-hashin (http://en.wikipedia.org/wiki/LM_hash) murtaminen kun on hyvin triviaalia brute forcella. Luetaan hash ja etsitään sitten kokeilemalla että mikä tuottaa kyseisen hash arvon. Ei siinä tartte kokeilla mitään salasanoja itse järjestelmään, vaan murto voidaan tehdä offline tilassa.

V.A.Littaa
Seuraa 
Viestejä873
Liittynyt1.4.2008
Bushmaster
salauskoodi tai salasanan hash avataan koodimuotoon, se syötetään ohjelmalle ja ohjelma valjastaa suorittimen kokeilemaan kaikki kuviteltavissa olevat vaihtoehdot läpi. Nopeimmillakaan graafisilla, esimerkiksi FDE-konsolillakaan ei saavuteta kuin muutamien kymmenien tai satojen salasanojen sekuntinopeuksia.

Mitä väliä on kräkkääjän nopeudella jos vastaanottaja (siis salasanaa vaativa järjestelmä) ei ole kiinnostunut edes tarkistamaan tarjoutun salasanan oikeellisuutta, vaan kertoo autromaattisesti salasanan olevan väärä (siis ennen kun on pidetty esimerkiksi minuutin luova tauko).

Vierailija

Tässä puhutaan nyt oletusarvoisesti skenaariosta, jossa järjestelmä on kryptattu ja se on pöydällä hallussa ja se täytyy saada auki(=luettavaan formaattiin) hinnalla millä hyvänsä. Ei sitä RuneScapen magic-loggeria.

Vierailija
Bushmaster

Joka tapauksessa, 64-merkkisen [96c] salasanan korkkaamiseen menisi kyseisellä myllyllä 5E53 vuotta.



Kuten tuossa jo kerroit, riittävän pitkällä salasanalla.

Lisäys: Kryptaustavalla on toki oma merkityksensä.

Vierailija
Bushmaster
Tässä puhutaan nyt oletusarvoisesti skenaariosta, jossa järjestelmä on kryptattu ja se on pöydällä hallussa ja se täytyy saada auki(=luettavaan formaattiin) hinnalla millä hyvänsä. Ei sitä RuneScapen magic-loggeria.

Minä käytän tätä: http://pogostick.net/~pnh/ntpasswd/

Tähän mennessä kaikki saatu auki parissa minuutissa

Viinankylväjä
Seuraa 
Viestejä476
Liittynyt15.1.2009
mensaani
Bushmaster
Tässä puhutaan nyt oletusarvoisesti skenaariosta, jossa järjestelmä on kryptattu ja se on pöydällä hallussa ja se täytyy saada auki(=luettavaan formaattiin) hinnalla millä hyvänsä. Ei sitä RuneScapen magic-loggeria.

Minä käytän tätä: http://pogostick.net/~pnh/ntpasswd/

Tähän mennessä kaikki saatu auki parissa minuutissa




Pöllitkö työksesi tietokoneita, vai miksi noita enemmänkin olet aukonut?

ykskivi
Seuraa 
Viestejä1950
Liittynyt27.3.2006

Käytä salaukseen älykortilla luotua varmennetta.

To refuse a hearing to an opinion, because one is sure that it is false, is to assume that one's own certainty is the same thing as absolute certainty. All silencing of discussion is an assumption of infallibility. - John Stuart Mill -

Vierailija
mensaani
Bushmaster
Tässä puhutaan nyt oletusarvoisesti skenaariosta, jossa järjestelmä on kryptattu ja se on pöydällä hallussa ja se täytyy saada auki(=luettavaan formaattiin) hinnalla millä hyvänsä. Ei sitä RuneScapen magic-loggeria.

Minä käytän tätä: http://pogostick.net/~pnh/ntpasswd/

Tähän mennessä kaikki saatu auki parissa minuutissa




Wintoosassa onkin joku 16-bittinen "kryptaus" omille passuilleen. Tässä puhuttiin erillisestä kryptauksesta.

10 vuoden aikana ei kukaan ole vielä korkannut 256-AES:ää. Voit toki yrittää vapaasti.

Vierailija
Viinankylväjä
Minä käytän tätä: http://pogostick.net/~pnh/ntpasswd/

Tähän mennessä kaikki saatu auki parissa minuutissa


Pöllitkö työksesi tietokoneita, vai miksi noita enemmänkin olet aukonut?[/quote]
Taitaa tehdä samaa kuin minäkin, eli korjailee tuttujensa koneita huvikseen/työkseen Ei ole kerta tai kaks kun on salasana unohtunut, yleensä vaihtamisen jälkeen

Paul M
Seuraa 
Viestejä8560
Liittynyt16.3.2005

Voisi tehdä virallisen näköisen sivun, jossa voi syöttää salasanansa ja pankkiryhmän tai muun ryhmän pieniin ruutuihin. Systeemi ilmoittaa sitten kyselijälle onko salasana vuotanut.

Pankkitunnuksissa on minulla vanha muistikuva. Pari kertaa nettipankkien aamunkoitossa kävi niin, että systeemi ilmoitti "Kolme väärää, ota yhteys pankkiisi". Siis oman tunnuksen kanssa sohlatessa.

Tuollaiseen murtamiseen oikotie on helpompi eli kysyy suoraan niiltä jotka eivät asiaa ymmärrä.

Hiirimeluexpertti. Majoneesitehtailija. Luonnontieteet: Maailman suurin uskonto. Avatar on halkaistu tykin kuula

Vierailija

Surullisinta tuossa älypää sivuston ylläpidossa oli se, että sähköpostiosoitteet/salasanat on yleensäkään saatu näkyville. Ei vissiin ollut minkäänlaista tunnusten sotkemista ( salt +hash ) käytössä.

Mistä näitä pellejä oikein tulee?

Sivut

Uusimmat

Suosituimmat