2009. augusztus 18., kedd

Jelszó praktikák.

Csináltam egy próbát. A "Password" jelszót kicsit konvertálgattam és ennek az md5 hash-ét megnéztem, hogy a freerainbowtable kihozza-e.

Itt van a Leet Key editor outputja :






Kódolás, kódolt szövegrész, md5 hash.

Itt pedig a freerainbowtable keresési eredménye :




Tehát a Password szót simán b64-el kódolva és így használva is elég random jelszót kapunk, amit egykönnyen nem lehet feltörni. Mivel a B64 a hosszat megnöveli, amiatt túl hosszú jelszó se kell. A "Password"-ból egy 12 karakter hosszú "UGFzc3dvcmQ=" lett. De a Leet-key féle elmaszkírozás is működik : azaz nem volt rá találat a rainbow táblában.

Ezek a módszerek nyilván már beloginolt állapotban működnek, amikor hozzáférünk a böngészőhöz vagy futtatható kódokhoz. Gép login esetén kell még egy eszköz, ami gyorsan átkonvertálja a "Password" stringet abba a formátumba amibe használni akarjuk (b64,L33t, stb)

Ez persze csak akkor működik, ha a támadó nem tudja , hogy ezt a módszert használjuk és nem tudja, hogy mi a jelszó. ha tudja, hogy mi a jelszó - vagy tudja próbálgatni - és a módszert is ismeri, akkor elég könnyen feltöri. Ha viszont nem tudja, hogy nem sima szöveget használunk, akkor kitalálni esélytelen és brute force próbálkozás se biztos, hogy sikerül, ha elég hosszúra sikerült.

Ennek a módszernek az az előnye, hogy nem kell megjegyezni valami bonyolult dolgot és ha a kódolást variáljuk (mondjuk 2-3 dolog között) akkor 2-3 próbából eltaláljuk a jelszót és ha az egyiket valahogy mégis megszerzik, akkor nem biztos, hogy a többit is megtudják.

Általában két féle kódolás elég : ahol le lehet hallgatni a hálózatot, ott valami gyengébb megoldást alkalmazzunk (mert tök mindegy, lehallgatással úgyis meg lehet szerezni a jelszavunkat és legalább az algoritmust védjük.) Ahol pedig a lehallgatás valószínűtlen, ott használjunk egy másik kódolást. Ez arra is jó, mert ha több forgalmat is lehallgatnak, akkor abból arra fognak következtetni, hogy mindenhol ezt az algoritmust használjuk, pedig nem :-)

Ez pl arra is jó, hogy a jelszavainkat felírjuk egy papírra (elmentsük fájlba) és eltegyük valahova. Mivel valójában nem ez a jelszó, azt még el kell kódolni és úgy használni, emiatt ha ezt a papírt (fájl-t) meg is szerzik, azzal még nem lesznek előrébb. truecrypt-el még titkosíthatjuk is ezt a fájlt. és akkor egy picit nehezítettünk a dolgon.(persze itt is kell jelszó...:-)

A jelszavaknak egy problémájuk van : Vagy könnyen megjegyezhető és egyben fel is törhető-ki is található - vagy pedig megjegyezhetetlen és akkor fel kell írni valahova.
Ha ezt a kis trükköt alkalmazzuk, akkor akár fel is írhatjuk, mésge tud belépni vele senki.
Ebben az esetben viszont a kódolás tényét és az algoritmust ne mondjuk el senkinek és ne is írjuk le sehova. Különben nem ér semmit.

Ha már nem lehet tokeneket és digitális id-ket használni mindenhol, akkor a jelszavainkat manipuláljuk meg egy picit, hogy ne legyen annyira egyszerű dolga a támadóknak.

Nincsenek megjegyzések:

Megjegyzés küldése