PC Pro - Vse od prihoda programljivih grafičnih procesorjev (GPGPU) poslušamo, da so uporabni za reševanje problemov, za katere so centralni procesorji prepočasni. Že pred tremi leti so se začeli pojavljati superračunalniki, ki izkoriščajo tudi moč grafičnih procesorjev, opazne pohitritve pa z GPGPU dosežemo tudi na namiznih računalnikih. Eno izmed početij, ki jih opazno pospešijo, je razbijanje gesel.
Jon Honeyball s PC Pro je uporabil grafično kartico Radeon 5770 in brezplačni program ighashgpu za razbijanje gesel z grobo silo (brute-force) z GPU-jem in Cain & Abel za uporabo CPU-ja. Ugotovil je, da je prijavno geslo za NTLM, ki sestoji iz šestih znakov (male in velike črke ter številke), moč zlomiti v vsega štirih sekundah na grafičnem procesorju, medtem ko CPU porabi poldrugo uro. Jasno, kompleksnost problema povečamo z daljšanjem gesla in vključevanjem več posebnih znakov. Devetmestno geslo vzame 43 let na CPU-ju in zgolj 48 ur na GPU-ju, s paralelizacijo pa še dosti manj.
Problem je seveda trivialno rešljiv z daljšanjem gesel, a tu hitro trčimo na neprilagodljivost človeškega uma. Kdor bi od zaposlenih zahteval, da uporabljajo 20-mestna gesla, ki vsebujejo velike in male črke, številke, posebne znake in ločila, bi tvegal, da bodo gesla visela z raznoraznih listkov na monitorjih. In s tem praktično nismo storili ničesar za dvig varnosti.
Novice » Varnost » Razbijanje gesel z GPU je realnost
Maxtor2000 ::
Js uporabljam 10-12 mestna gesla za "zajebane" stvari. Sicer pa redno uporabljam tudi 20mestna gesla, vendar zelo poredko...
Spura ::
Maxtor2000 je izjavil:
Js uporabljam 10-12 mestna gesla za "zajebane" stvari. Sicer pa redno uporabljam tudi 20mestna gesla, vendar zelo poredko...
That sentence makes a lot of sense.
Keyser Soze ::
Ja no, sej vohljač NE VE kakšne znake vse uporabljaš. Lahko sicer proba srečo, pa ne vključuje posebnih znakov/ločil/ipd., temveč samo črke in številke in morda nikoli ne bo odkril gesla. Dovolj je že pika za geslom npr.
Za vsa gesla npr. uporabljaš eno pravilo v smislu 5. znak je ločilo klicaj, 10. pa "lojtra", neglede na preostale znake oz. dolžino. Pa je že bolj kompleksno geslo in precej izboljša varnost.
Za vsa gesla npr. uporabljaš eno pravilo v smislu 5. znak je ločilo klicaj, 10. pa "lojtra", neglede na preostale znake oz. dolžino. Pa je že bolj kompleksno geslo in precej izboljša varnost.
OM, F, G!
JurijTurnsek ::
kako bi pa to potekalo v praksi? ne bi strežnik zablokiral tako neskončno število poskusov razbijanja gesla (ne bi to zgledalo kot kak DDOS napad)?
http://www.slatnaskejta.com
pecorin ::
JurijTurnsek je izjavil:
kako bi pa to potekalo v praksi? ne bi strežnik zablokiral tako neskončno število poskusov razbijanja gesla (ne bi to zgledalo kot kak DDOS napad)?
ukrades fajl s hashi pa potem razbijas in server ne ve nic o tem.
JurijTurnsek ::
JurijTurnsek je izjavil:
kako bi pa to potekalo v praksi? ne bi strežnik zablokiral tako neskončno število poskusov razbijanja gesla (ne bi to zgledalo kot kak DDOS napad)?
ukrades fajl s hashi pa potem razbijas in server ne ve nic o tem.
torej morajo dejansko ukrasti bazo podatkov
http://www.slatnaskejta.com
MrStein ::
Kar ni problem, če ti ves PC/laptop ukradejo.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
filip007 ::
Sploh pa problem, ker dodajajo še dodatne grafične pod sli, CF, več CPUjev. Pač ne bomo logirani 24ur na dan in po 365 dni v letu, keš ven z neta, če je kaj vezano gor pa bo.
Prenosnik, konzola, TV, PC upokojen.
user1618 ::
Že zdaj za admin gesla tipkam nemogoče zgodbice. Treba bo pogruntati nekaj novega, da nadomesti gesla.
Brane2 ::
Ne vem v čem je problem.
Kjerkoli se da, uporabljam gesla dolžine 30+ znakov.
Bolj leva novica. Ja, GPU se da uporabit za pospeševanej brute forcea, a to je enkraten kick-in-a-butt.
Ko ga izkoristiš, tega ne moreš več kar tako ponoviti.
Kjerkoli se da, uporabljam gesla dolžine 30+ znakov.
Bolj leva novica. Ja, GPU se da uporabit za pospeševanej brute forcea, a to je enkraten kick-in-a-butt.
Ko ga izkoristiš, tega ne moreš več kar tako ponoviti.
On the journey of life, I chose the psycho path.
JurijTurnsek ::
Kar ni problem, če ti ves PC/laptop ukradejo.
ja v tem primeru je kaj takega lahko pričakovano...
ta novica kaj vpliva na PGP ključe? ti so precej dolga (torej bi šifriran disk bil še vedno precejšen zalogaj)
http://www.slatnaskejta.com
darkolord ::
a to je enkraten kick-in-a-butt.Ja, ampak nekaj tisočkraten. Večina ni pripravljena na kaj takega, "popravilo" tega pa zna trajati kaj precej časa.
yest ::
Damn zgleda da bom moral spet podaljšati moj 31 znakov dolg WPA ključ za wifi :/
31 znakov ti js uganem...
brb
Brane2 ::
a to je enkraten kick-in-a-butt.Ja, ampak nekaj tisočkraten. Večina ni pripravljena na kaj takega, "popravilo" tega pa zna trajati kaj precej časa.
Zakaj ? Valjda ne boš izzival usode s prekratkim ključem. In ker ti že dva znaka prineseta več kot teh 1000x, to pomeni, da si se šel zaj* z noro kratkimi passwordi.
Za password valjda uporabiš tako dolg ključ, da ti o tem ni treba razmišljat.
On the journey of life, I chose the psycho path.
jype ::
zigam> Zakaj pa GPU hitrej razbije geslo kt CPU?
CPU je proti GPU kot Einstein proti miljardi Kitajcev, ki znajo računat na prste.
Če je treba rešit miljardo problemov seštevanja do deset, bodo Kitajci očitno hitreje opravili nalogo.
CPU je proti GPU kot Einstein proti miljardi Kitajcev, ki znajo računat na prste.
Če je treba rešit miljardo problemov seštevanja do deset, bodo Kitajci očitno hitreje opravili nalogo.
RejZoR ::
Damn zgleda da bom moral spet podaljšati moj 31 znakov dolg WPA ključ za wifi :/
256 mestni full ASCII random generated password :P Pa seveda blokada za 24 ur po 5 napačno vnešenih geslih. Kar zna lepo podaljšat razbijanje :P
Angry Sheep Blog @ www.rejzor.com
XsenO ::
Damn zgleda da bom moral spet podaljšati moj 31 znakov dolg WPA ključ za wifi :/
256 mestni full ASCII random generated password :P Pa seveda blokada za 24 ur po 5 napačno vnešenih geslih. Kar zna lepo podaljšat razbijanje :P
Posreduj ga potem na pamet kolegom, če ga rabijo :P
1 + 1 = 1
l0g1t3ch ::
Damn zgleda da bom moral spet podaljšati moj 31 znakov dolg WPA ključ za wifi :/
256 mestni full ASCII random generated password :P Pa seveda blokada za 24 ur po 5 napačno vnešenih geslih. Kar zna lepo podaljšat razbijanje :P
Posreduj ga potem na pamet kolegom, če ga rabijo :P
LOL!
Pojma nimaš.
Prvo se posnifa WPA handshake, kar se da narediti povsem pasivno. In ko imaš ta handshake, pa lahko na njemu v miru dela bruteforce.
sverde21 ::
Tole je že malce out of date... avtor programov Passwords Pro in Inside Pro (http://insidepro.com) je že cca. 2-3 leti nazaj pripravil program za razbijanje gesel s pomočjo grafičnih kartic.
<?php echo `w`; ?>
Durex ::
Kaj pri grafičnih je pa treba gledat da je čim hitrejše? Kakšno grafično ki je x2 (ima dva GPU - primer ATI Radeon™ HD 4870 X2) ali kakšno novejšo boljšo zmogljivejšo grafično? lep pozdrav
Zero0ne ::
Kako dolgo bo potem še varen AES, z 256-bitnimi ključi? Najbolj varno bi bilo odkriti strong encryption s poljubno dolgimi ključi. Saj imamo že napol zastojn TB+ diske, kaj je par gigabajtov za enkripcijski ključ?
uname -o
Kostko ::
NTLM?!? Are you kidding??? NTLM je staro jajce, ki uporablja res zanič algoritme in je zato deprecated/odsvetovan za uporabo.
Implementers should be aware that NTLM does not support any recent cryptographic methods, such as AES or SHA-256. It uses cyclic redundancy check (CRC) or message digest algorithms (RFC1321) for integrity, and it uses RC4 for encryption. Deriving a key from a password is as specified in RFC1320 and FIPS46-2. Therefore, applications are generally advised not to use NTLM.[6]
Human stupidity is not convergent, it has no limit!
DeeJay ::
In potem majo elektronske banke npr. Sparkasse (Net Stik) omejeno geslo na 12 znakov AZaz09....
dasf ::
Če koga zanima, trenutno najhitrejši single-md5 bruteforcer je pred kratkim šel v open-source.
Link
Napisan v CUDA (za nVidia) in zastarelem AMD BROOK za ATI (oz AMD).
Link
Napisan v CUDA (za nVidia) in zastarelem AMD BROOK za ATI (oz AMD).
Maxtor2000 ::
Maxtor2000 je izjavil:
Js uporabljam 10-12 mestna gesla za "zajebane" stvari. Sicer pa redno uporabljam tudi 20mestna gesla, vendar zelo poredko...
That sentence makes a lot of sense.
Sori. Želel sem reči, da za mail like ipd uporabljam 10-12mestne kode. Za elektronsko bančništvo pa 20mestno (+ "time key generator" al žeton po domače...)
Forumi ipd. uporabljam krajše kode...
Tilen ::
Če koga zanima, trenutno najhitrejši single-md5 bruteforcer je pred kratkim šel v open-source.
Link
Napisan v CUDA (za nVidia) in zastarelem AMD BROOK za ATI (oz AMD).
Tale programček kaže, da GPU računa "le" nekje 4x hitreje od vseh štirih Sandy Bridge jeder skupaj (4.6Ghz).
Org.
Kaj pomeni 1700 MHash/sec?
413120536c6f76656e696a612c20642e642e
Zgodovina sprememb…
- spremenil: Tilen ()
blackbfm ::
Prvo se posnifa WPA handshake, kar se da narediti povsem pasivno. In ko imaš ta handshake, pa lahko na njemu v miru dela bruteforce
V miru ja..kok tisoc let? :p
Ne resno pri wpa je trenutno dovolj 10 random crk/stevilk, kar je vec tok bolje. Sicer pa bi se za to rabu vsaj 100 da ne recem raje 1000 ali pa celo 10000 high end gpujev da bi skrekal v normalnem casu.
l0g1t3ch ::
Prvo se posnifa WPA handshake, kar se da narediti povsem pasivno. In ko imaš ta handshake, pa lahko na njemu v miru dela bruteforce
V miru ja..kok tisoc let? :p
Ne resno pri wpa je trenutno dovolj 10 random crk/stevilk, kar je vec tok bolje. Sicer pa bi se za to rabu vsaj 100 da ne recem raje 1000 ali pa celo 10000 high end gpujev da bi skrekal v normalnem casu.
Kolko uporabnikov pa poznas da daje random gesla ? Večinoma folk daje za geslo neko besedo ali par besed + doda neke dobro poznane modifikacije in se s tem počuti varno.
No pri brutforcanju 50K gesel na sekundo ali 180M gesel na uro vidiš, da vse kar ma za osnovo neko slovarsko besedo + modifikacije ni kaj prida varno.
kixs ::
@Tilen:
tudi pri meni je faktor CPU:GPU okoli 4X v prid GPU-ju.
(AMD X2 3800+ in Geforce 8600GTS 256MB - vse default)
@jype:
dodaj se kak sumnik, pa si zmagu.
tudi pri meni je faktor CPU:GPU okoli 4X v prid GPU-ju.
(AMD X2 3800+ in Geforce 8600GTS 256MB - vse default)
@jype:
dodaj se kak sumnik, pa si zmagu.
dasf ::
Če koga zanima, trenutno najhitrejši single-md5 bruteforcer je pred kratkim šel v open-source.
Link
Napisan v CUDA (za nVidia) in zastarelem AMD BROOK za ATI (oz AMD).
Tale programček kaže, da GPU računa "le" 4x hitreje od vseh štirih Sandy Bridge jeder skupaj (4.6Ghz).
Org.
Kaj pomeni 1700 MHash/sec?
1700 miljonov hashev na sekundo. (generiranje in preverjanje)
Razlika (GPU-CPU) je pri md5 hashih manj očitna kot pri NTML hashih, zaradi samega algoritma.
revvs ::
To so GPU pravljice, še sploh pa razbiti geslo z brute force, to je še pravljica. Mogoče lahko razbiješ geslo ki je sestavljeno iz dveh delov kot na starih loginih. Bolj vprašanje software in hardware, kot gpu ali cpu.
dasf ::
To so GPU pravljice, še sploh pa razbiti geslo z brute force, to je še pravljica. Mogoče lahko razbiješ geslo ki je sestavljeno iz dveh delov kot na starih loginih. Bolj vprašanje software in hardware, kot gpu ali cpu.
Na svojem ubogem mlinčku lahko md5 hash 6-mestnega gesla (velike, male črke, številke) "razbijem" v 6 min. (150 Mhash/sec).
revvs ::
md5 ? lol, seveda lahko. Vendar moje nikoli pa tudi če bo 3 mestno, ker bom imel znake vmes ki jih tvoj dictionary ne pozna.
dasf ::
revvs ::
md5 ? lol, seveda lahko. Vendar moje nikoli pa tudi če bo 3 mestno, ker bom imel znake vmes ki jih tvoj dictionary ne pozna.
Z zanki vred (~`'!@#$%^&*()_+=- /?.,\|") okoli 40 min.
Ne gre za noben dictionary, vsi hashi se generirajo sproti.
In kje so zdaj v tem angleškem programu šumniki in drugi programu neznani znaki ?
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Rdečelaske izbirajo najbolje, moški so za raznolikost, ženske za dolžino (strani: 1 2 )Oddelek: Novice / Varnost | 26107 (21907) | MrStein |
» | AES 256-bit in pozabljeno gesloOddelek: Pomoč in nasveti | 2064 (1891) | technolog |
» | Razbijanje gesel z GPU je realnost (strani: 1 2 3 )Oddelek: Novice / Varnost | 30583 (25014) | MrStein |
» | Zla koda v grafičnih procesorjihOddelek: Novice / Grafične kartice | 4003 (2950) | denial |
» | Internetna in mrežna geslaOddelek: Informacijska varnost | 1834 (1833) | jerneju |