* Uofficiel Black/White liste V3
|
Nyheder
Geforce GTX 295 Nakker Dit PasswordSkrevet af Thomas Christensen | 17-08-2010 22:58 | 6001 visninger | 26 kommentarer, hop til seneste
Bruger du et syv-ords password på din mail, HOL og andre sider, kan enhver nørd med et Geforce GTX 295 grafikkort bryde den med simpel kode, lyder konklusionen fra Georgia Tech Research Institute.
Et sådant password er ifølge folkene bag en undersøgelsen håbløst, og skal man have en brugbar sikkerhed skal man helt op på tolv bogstaver. Uden at nævne en tidsramme vurderer de, at selv password på tolv ord bliver simpelt at bryde ved at smide rå grafikkort-regnekraft efter det. Det forventer derfor, at det kan blive nødvendigt at bruge hele sætninger for at beskytte ens password mod et brute-force angreb.
Til at undersøge mulighederne for at bryde password med rå regnekraft, benyttede de ifølge HEXUS et Geforce GTX 295 og C-programmering via CUDA. Det er grafikkortenes enorme evne til at lave simple beregninger, som gør dem i stand til at afprøve de mange muligheder indenfor en brugbar tidsramme for dem, som ønsker at bryde en kode. Dette sammen med dens programmerbare egenskaber gør den i stand til at lave andet end at regne pixels og encode film, og med mere modne software API'er som f.eks. CUDA kan flere og flere benytte de mange udregninger til egne formål uden at hedde John Carmack og have en master i nørderi.
Grafikkort har også være benyttet til at bryde krypteringen af trådløse netværk i 2008, så det er velkendt at grafikkortene øger kravet til diverse typer krypteringer og koder. De testede passwrods benyttede ikke tal og skelnede ikke mellem store og små bogstaver, så måske lidt håb endnu for os dovne syv-tryks-passwords personer.
syv ord password, det lyder da ellers rimelig sikkert. :S
efter at have læst artiklen er jeg lidt i tvivl om du mener 7-ord eller 7-bogstaver?
anyways... det lyder skræmmende
--
gammel stationær, Acer Aspire 5536 og en PS3 er hvad jeg har at lege med Nu er der heldigvis mange faktorer der forhindrer en evt. c-kode programmeringen i at prøve så mange koder i minuttet at det kan gøres indenfor en rimelig tidsramme...
Men det er selvfølgelig stadig ret vildt :)
--
Gigabyte GA-P55-UD3 - Core i5 750 - 4 Gb Corsair xms3 - HIS HD5850 - Coolermaster HAF932 #1 Hvis du kigger i artiklen han henviser til så er det 7 bogstaver.
--
øhm. Det er jo ikke vores problem?
I teorien er det korrekt.
Men det er vel op til udbyderne af mail at sortere disse "programmer" fra?
Det burde alligevel snildt kunne lave et script der siger "pis af" når en ip taster koden forkert 20 gange på et sekund ;)
Kan godt se faren i det, og DARPA har lige købt for RIGITG mange mio. dollars Nvidia kort til deres supercomputere.
Så vi kommer nok til at lege med lange sætninger i fremtiden. men når det kommer til Seriøs sikkerhed er jeg ikke bekymret for at en nørd kan få adgang til bank og personlige data :D Nok nærmere at DARPA CIA eller ECHELON kan. og de gør det jo ikk for sjov ;)
--
"Cogito, ergo sum" - Descartes. Jeg tænker, altså er jeg.. men er du? Og tak for den nok så misvisende overskrift.
Det er computerkraften, der hentydes til.
Dette betyder dog ikke en hujende fis, da de fleste login steder kun tillader ganske få forsøg indenfor relativ kort tid.
Selv har jeg på mine servere et permant ban, der træder i kraft hvis man skriver 3 forkerte passwords i træk.
Så regnekraft hjælper ikke en hujende fis.
--
"Remember, amateurs built the Ark. Professionals built the Titanic." - Richard J. Sexton Det kommer an på koden.
Mange distribuerede applikationer konfigueres eksempelvis til at nægte adgang, hvis man forsøger sig med et forkert password 5 gange.
Derudover stiger den tid det tager at "hacke" ens password gennem brute-force gevaldigt, alt afhængig af, hvilke karaktersæt man anvender. Eksempelvis er alfanumeriske karaktér alene ikke velegnet til password til "sensitive sider". Og hvis "c", "c++", "c#", "java" eller hvad som helst programmøren vælger at anvende en brute-force algoritme, som anvender UTF-32 enkodning (for at teste alle mulige kombinationer), ja så stiger kompleksisten eksponentielt med (2^32) for hver gang man adderer 1 karakter ekstra til passwordet.
For amatør webdesignere, så kan en simpel ændring i SQL queryen eller Data Access Laget beskytte ens password mod bruteforce angreb. Tjek antal forsøg over tid tilknyttet hver account. Så nemt kan det gøres.
--
Gæstebruger, opret dit eget login og få din egen signatur. #6
Ali
Nice post! vel informerende og nørdet :p respekt!
--
"Cogito, ergo sum" - Descartes. Jeg tænker, altså er jeg.. men er du? Det de snakker om er at brute-force sig frem til det password eller den cleartext værdi en hashkey/checksum indeholder (MD5, SHA osv).
Det har intet at gøre med rent faktisk at brute-force sig ind i et system som et traditionelt hacker angreb, da dette meget nemt kan blokeres, samt der er intet revolutionerende og nyt i denne metode.
De snakker altså om at bruteforce sig frem til værdien af en checksum, efter man på en eller anden måde har fået skaffet sig adgang til databasen med "passwords".
Derudover er det også meget normalt at man "salter" (Tilføjer en ekstra tekststreng) til folks passwordet før man laver det om til en checksum, dette gør at det tager MEGET længere tid at bruteforce sig frem til værdien og rendere derfor denne angrebsmetode ugyldig og vi kan beholde vores korte passwords.
Bliver dog spændende at se hvad der sker når kvantecomputeren kommer på banen, så skulle vi efter sigende være lidt på røven og skal til at genoverveje vores kryptografi.
--
Gæstebruger, opret dit eget login og få din egen signatur. Uanset om overskriften er misvisende mener jeg personligt at det er en god pointe at "hvis" man vil kan man udnytte GPU´er til regne mæssigt simple men tunge beregninger fremfor CPU´er.
Dette betyder jo direkte at man kan få relative billige "supercomputere" for relative billige penge....
Evt. google Nvidia Tesla.
Mvh.
Walker
--
stavekontrol :D
De testede passwrods
skribent please ret :D
ellers sjælden vi finder dem :D
--
Måske nogle kan uddybe lidt overfor mig som ikke er så nørdet indenfor området. Jeg har altid troet en hurtig CPU var vejen frem når man skulle prøve mange kombinationer og ikke en GPU. Specielt hvis man multithreader brute force søgning (hvilket burde være nemt).
Er det bare fordi en GPU er specialiseret til at lave mange små beregninger?
--
#12: bruteforcing er jo noget der naturligt er ekstremt parallelt, og derfor meget gpu egnet. Dertil kommer at sådan noget som MD5 beregninger har forholdvis meget aritmetik ift båndbredde forbruget. Omvendt hvis man vil lave dictionary attacks, bliver man langt hen af vejen båndbredde begrænset og så vil gevinsten være mindre (især koblet med bedre/mere cache på cpu'er).
Det er ret vilde tal der er på golubev's blog, og web passwords er måske ikke det mest relevante ift sikkerhed (pga ovennævnte med at man lige skal have password filen først) - hvad med fx winzip cracking: http://www.golubev.com[...]
--
#13: Tak, jeg har tydeligvis ikke så meget styr på hvordan hardwaren præcist virker.
--
Hvis man antager at et bogstav er et tegn i det fulde ASCII alfabet (uden de første 32 "tegn" og "DEL") er der 94 tegn.
97^7 = 64.847.759.419.264 kombinationer.
Kan den virkelig brute force SÅ mange kombinationer "nemt"?
--
Computer setups: Se profil.
If life was a cake, how fast would you eat it? #15 det skulle ikke tage mere end et døgns tid.
--
"Remember, amateurs built the Ark. Professionals built the Titanic." - Richard J. Sexton #15: Artiklen snakker vist om bogstaver, altså kun 26^7 - dvs 10000 gange mindre. Eller hvad der kan klares på lige godt et døgn med 1 mio pr sek (som fx et 5970 kan mht winzip).
--
#8
Tak for indlægget. Det giver god mening. #0
Grunden til, at brute-force overhovedet er et problem er, at folk har en tendens til at genbruge deres passwords. Det betyder, at når først "HEJ VELKOMMEN TIL MIN FØRSTE HTML HJEMMESIDE" programmørens database bliver udsat for et angreb, så er fru Olsen på "skideren". Ikke fordi hun er 104 år gammel og lider af 42 forskellige sygdomme, men fordi hun bruger samme kode til sin email, paypal konto, amazon, netbank, osv. osv.
I forbindelse med kryptering af beskeder (eks. sensitive elektroniske helbredsinformationer, som sendes fra indlejrede enheder), så er vi over i en hel anden boldgade, som hedder flere årtier til aldrig alt afhængig af beskedernes størrelse. Her kan man nemlig anvende helt andre metoder... alt fra at kommunikere over et ukendt sprog til at obfuskere sine beskeder, således at selv hvis "den hypotetiske kvantecomputer" knækker koden på trods af, at man eks. har lavet sin egen 1024 bit nøgle (JK), så vil den være ulæselig og dermed antages, som "ikke knækket".
--
Gæstebruger, opret dit eget login og få din egen signatur. Nu regner i vel ikke med, at denne metode primært bruges mod hjemmesider. Mange siger at hjemmesider beskytter sig mod brute force,
- men den beskyttelse er jo ikke aktiv, hvis f.eks. brugeren prøver at gætte krypterede passwords han har opsnappet fra hjemmesidens database el lin.
(Eller for den sags skyld password beskyttede/krypterede diske/filer)
--
Gæstebruger, opret dit eget login og få din egen signatur. DES krypteringen, som emails m.m. benytter kan i gennemsnit knækkes af en P2 300mhz på omkring 24 timer.
--
"Remember, amateurs built the Ark. Professionals built the Titanic." - Richard J. Sexton mine er altid på 20+ og jeg har en ny til alt;
facebook
aion
age of conan
wow
youtube
hol
etc.. :D
--
AMD Phenom II x6 1090T BE - ATI HD 5850HIS Cooler - Gigabyte GA-890FXA-UD5 - DDR3 2GHz CL6 RAM w/Turbolance Fan
Mums! MD5 er desværre en ofte brugt hash algoritme til at gøre passwords ulæselige. Desværre er MD5 ikke særlig beregningstung og det gør at den passer fint til en GPU.
Mit ATI 5870 sammen med min Core i7 920 3.3GHz kan teste 3 403 613 266 (ca. 3.4 milliarder) MD5 passwords i sekundet hvis der kun ledes efter små bogstaver a-z og cifrene 0-9. GPU'en klarede 3.1 milliard/sek og hver core på cpuen klarede 26 millioner/sek.
Her er en liste over forskellige hastigheder (nVidia og ATI kort). Topscorer er ATI 5970 med 5631 millioner MD5 per sekund.
--
Gæstebruger, opret dit eget login og få din egen signatur. Hvis du tester 3.1 millard/sek så skal du nok have et rimeligt stort rainbowtable for at indeholde alle de MD5 variationer :P En pæn slat gigabyte ville jeg mene, men bestemt ikke urealistisk :)
--
---------
Køber 26" / 27" skærm folk skulle abre lære at kryptere deres koder!! -for folk der ikk ved hvad det betyder, så er det koder der består af store og små bogstaver med blanding af tal også!! :D
--
Níìce! :D #24 Det er ikke helt hvad en kryptering er, men ideen er god nok. :P
"Banan" kunne f.eks. blive krypteret til "DkgnS803KdMm67" med en bestem algoritme.
--
Computer setups: Se profil.
If life was a cake, how fast would you eat it? #25 det er jo også det jeg snakker om!! :P
--
Níìce! :D
Grundet øget spam aktivitet fra gæstebrugere, er det desværre ikke længere muligt, at oprette svar som gæst.
Hvis du ønsker at deltage i debatten, skal du oprette en brugerprofil.
Opret bruger | Login
|
Du skal være logget ind for at tilmelde dig nyhedsbrev.
Hvilken udbyder har du til internet? 427 personer har stemt - Mit energiselskab (Ewii f.eks) 11%
|
|
|