Novice » Varnost » Razbijanje gesel z GPU je realnost
dasf ::
mr1two ::
Mehmehmeh, kako švica moja grafa Pa saj je nobena reč ne zašvica tok k to. MD5, povprečno na sekundo: 1900M, če je navita 2200. Huda zadeva to razbijanje z grafičnimi, pass z malih črk in številk, dolžine 8 izpljune v 3 minutah in 20 sekundah, po mojem so taka gesla bolj kot ne precej pogosta, mogoče še kakšen znak, maksimalno 2 več.
I wonder how it would be if I used crossfire
Glede šumnikov v passwordih: menim, da se jih večina izogiba, zaradi slabe podpore pri kodiranju. Enkrat si je recimo sosed zaklenil z bootlockerjem celo mašino, ker je za pass dodal šumnik
I wonder how it would be if I used crossfire
Glede šumnikov v passwordih: menim, da se jih večina izogiba, zaradi slabe podpore pri kodiranju. Enkrat si je recimo sosed zaklenil z bootlockerjem celo mašino, ker je za pass dodal šumnik
Zgodovina sprememb…
- spremenil: mr1two ()
hojnikb ::
In zaka je to tak revolucionarno ?
Sej razbijanje hashov z gpujem obstaja že kr neki cajta.
Sej razbijanje hashov z gpujem obstaja že kr neki cajta.
#brezpodpisa
fizikalac ::
Kaj vi sanjate od 30+ dolgih geslih... Ma treba je samo mešat nabore znakov, ASCII alnum + special + UTF8 posebni znaki tipa čšž oz. bl zajebani in če je geslo dolgo 12+ znakov je že dovolj. Seveda če ni tako k se najde v slovarju oziroma kombinacija beseda + številka, beseda + letnica, itd...
Zanimiva zadeva za varno geslo je tudi password card http://www.passwordcard.org/en.
Če hočte prevert DEJANSKO varnost vašega gesla je najboljš da prepustite hekrčkom da ga probajo skrekat s tisoči GPUjev, mavričnimi tabelami, slovarji, kombiniranimi metodami... Zato pejte objaut svoje geslo na http://www.freerainbowtables.com/ in ko ga razbijejo je znak da ga je treba zamenjat :):)
Zanimiva zadeva za varno geslo je tudi password card http://www.passwordcard.org/en.
Če hočte prevert DEJANSKO varnost vašega gesla je najboljš da prepustite hekrčkom da ga probajo skrekat s tisoči GPUjev, mavričnimi tabelami, slovarji, kombiniranimi metodami... Zato pejte objaut svoje geslo na http://www.freerainbowtables.com/ in ko ga razbijejo je znak da ga je treba zamenjat :):)
Zgodovina sprememb…
- spremenil: fizikalac ()
RejZoR ::
In potem majo elektronske banke npr. Sparkasse (Net Stik) omejeno geslo na 12 znakov AZaz09....
To sem pred leti poslal na Siol sočno sporočilo, ko so imeli enako bedarijo. Na enem koncu ti pametujejo in pišejo obvestila o varnosti, potem pa ti omejijo geslo na 12 znakov brez posebnih znakov. Še celo underscore ali pika ni bil na voljo če se prav spomnim. Mislim lol no, 12 znakov bi moral bit minimum ne pa maksimum.
Angry Sheep Blog @ www.rejzor.com
fizikalac ::
Zelo žalostno je če naprava ne podpira šumnika v geslu... Ampak so sigurno kkšni ne-ascii znaki, ki se jih da vnest.. Sej ni nujno da so šumniki.
black ice ::
jype ::
fizikalac> Zelo žalostno je če naprava ne podpira šumnika v geslu... Ampak so sigurno kkšni ne-ascii znaki, ki se jih da vnest.. Sej ni nujno da so šumniki.
Na prejšnji strani je en primer gesla, kakršna si običajno določim.
Zapomnim si jih z različnimi mnemoničnimi fintami.
Na prejšnji strani je en primer gesla, kakršna si običajno določim.
Zapomnim si jih z različnimi mnemoničnimi fintami.
fizikalac ::
Če imaš ascii geslo %=#$)#&(#$=.- ga seveda ne bo nobeden zbruteforcal... Problem je, ko ima nekdo geslo P4ssw0rd.1993 in misli da je varno ;)
EDIT: Ja, tut js ne vem kaj je tukej revolucionarnega. GPU crackerji kot je Password pro, Hashcat+, oclHashcat obstajajo že dolgo časa :D
EDIT: Ja, tut js ne vem kaj je tukej revolucionarnega. GPU crackerji kot je Password pro, Hashcat+, oclHashcat obstajajo že dolgo časa :D
Zgodovina sprememb…
- spremenil: fizikalac ()
revvs ::
Okej tukaj je dvomestno(2 črki) md5 geslo, če razbiješ to potem ti dam neko težje:
cddc952794284aac5973cd72a206a91f
cddc952794284aac5973cd72a206a91f
fizikalac ::
jype ::
revvs> Okej tukaj je dvomestno(2 črki) md5 geslo, če razbiješ to potem ti dam neko težje:
Ni.
Ni.
fizikalac ::
jype ::
Ne, ni newline pa null:
>>> for i in range(256): ... for j in range(256): ... if hashlib.md5(chr(i)+chr(j)).hexdigest() == 'cddc952794284aac5973cd72a206a91f': print i, j ... >>>
fizikalac ::
jype ::
Če ne vemo kodnega zapisa, je tako ugibanje precej nesmiselno, vsekakor pa gesla v nestandardnem zapisu ni enostavno vnest v večino mobilnih naprav.
DeeJay ::
Sparkasse Net Stik
Se prav, če hočeš preko telefona poslovat maš lahko samo 12 številk ;)
Res je, da rabiš certifikat... sam če ti ga pa spizdijo, majo pa dostop v parih urah ali celo minutah.
Novo geslo naj bo sestavljeno iz najmanj osem (8) in največ dvanajst (12) znakov. Geslo ne sme vsebovati presledkov ter nedovoljenih znakov ali ločil (:,.*$#!?) . Uporabniki, ki želite z banko poslovati tudi preko telefonskega bančništva Tel.Stik, upoštevajte, da bo geslo, zaradi potreb identifikacijskega postopka, sestavljeno izključno iz številčnih znakov (0, 1, 2, 3, 4, 5, 6, 7, 8, 9).
Se prav, če hočeš preko telefona poslovat maš lahko samo 12 številk ;)
Res je, da rabiš certifikat... sam če ti ga pa spizdijo, majo pa dostop v parih urah ali celo minutah.
darksamurai ::
Eno vprašanje: koliko hitreje bi lahko z GPU bruteforce odklenil nek truecrypt container oz. še bolje celoten disk? To pa sprašujem, ker se mi zdi, da recimo z AES kriptiranega diska in z 9 mestnim geslom ne bi odklenil v roku 48 ur.
dasf ::
AES nima veze z kakršnimikoli hashing algoritmi.
Truecrypt oz. AES algoritem je zaenkrat dovolj varen, načeloma tudi za šifriranje pred kakšnimi vladnimi službami. Sam čas razbijanja je predolg, tudi če bi nekako združil vse računalnike na svetu. Edina možnost bi bila ranljivost v samem algoritmu, ki pa zaenkrat vsaj javnosti ni znana.
Truecrypt oz. AES algoritem je zaenkrat dovolj varen, načeloma tudi za šifriranje pred kakšnimi vladnimi službami. Sam čas razbijanja je predolg, tudi če bi nekako združil vse računalnike na svetu. Edina možnost bi bila ranljivost v samem algoritmu, ki pa zaenkrat vsaj javnosti ni znana.
revvs ::
Če ne vemo kodnega zapisa, je tako ugibanje precej nesmiselno, vsekakor pa gesla v nestandardnem zapisu ni enostavno vnest v večino mobilnih naprav.
Kodni zapis sem ali tja, meni niti ni potrebno vpisovati gesla, samo kliknem (seveda ne na goli tekst). Malce sem vas nategnil, se opravičujem, ker je vsekakor mogoče malce nepravično geslo.
ta znak
http://zh.wikipedia.org/wiki/%E6%B1%89
in ta znak:
%C4%90 @ Wikipedia
je geslo bilo.
mr1two ::
AES razbijanje je dosti bolj počasno, ker ima več korakov, sem pa nekaj gledal po netu, če je že kakšen namenski sw spisan za to, ampak sem kmalu obupal brez rezultata. Če kdo kaj najde/ve, naj tukaj deli, da vidim kako "varna" so moja gesla
dasf ::
Kako imajo kitajci urejena ta gesla? Je možno uporabiti vseh cca 50k znakov?
Za AES verjento obstaja kakšna implementacija za GPU, potem ti ostane "samo" še da napišeš program, ki bo preizkušal gesla in preverjal "veljavnost" rezultata. Je pa prepočasno, ja.
Za AES verjento obstaja kakšna implementacija za GPU, potem ti ostane "samo" še da napišeš program, ki bo preizkušal gesla in preverjal "veljavnost" rezultata. Je pa prepočasno, ja.
jype ::
revvs, to je 5 bajtov (1 bilijon možnosti) (ki jih hkrati v povprečen android telefon ne moreš vnest na noben način).
Zgodovina sprememb…
- spremenilo: jype ()
revvs ::
Kako pa potem kitajci pišejo na telefon ?
Poleg tega bi lahko tudi dal geslo "čć" in ne bi morali razdreti, ker programi za razdiranje ne poznajo teh črk, vendar se mi je zdelo malce lahko.
Toliko o PlayStation.
Poleg tega bi lahko tudi dal geslo "čć" in ne bi morali razdreti, ker programi za razdiranje ne poznajo teh črk, vendar se mi je zdelo malce lahko.
Toliko o PlayStation.
fizikalac ::
Če ne vemo kodnega zapisa, je tako ugibanje precej nesmiselno, vsekakor pa gesla v nestandardnem zapisu ni enostavno vnest v večino mobilnih naprav.
Kodni zapis sem ali tja, meni niti ni potrebno vpisovati gesla, samo kliknem (seveda ne na goli tekst). Malce sem vas nategnil, se opravičujem, ker je vsekakor mogoče malce nepravično geslo.
ta znak
http://zh.wikipedia.org/wiki/%E6%B1%89
in ta znak:
%C4%90 @ Wikipedia
je geslo bilo.
Ja res si ns mal nategnu ker ta znak sploh ni v ISO-8859 znakih 0xc0 - 0xff :):) drugih pa res noben ne uporablja, niti za gesla heh :P
ameba ::
A mi en pove kje v praksi dejansko rabš met tok znakov za navadnega uporabnika ?
Sm opazu da eni pišete da uporablate 12 mestno geslo ali več ... Zakaj ?
Sm opazu da eni pišete da uporablate 12 mestno geslo ali več ... Zakaj ?
RejZoR ::
Bruteforce je neuporaben če sistem ni skrajno debilno postavljen. Ne vem, se samo meni zdi samoumevno, da mora sistem javiti adminu če nekdo 5x (oz večkrat odvisno od želje po občutljivosti) zaporedoma narobe vnese geslo? Oz da blokira dostop za par ur oz za en cel dan? Sej lahko GPU preizkusi 500 mio gesel na sekundo ampak če ti sistem dovoli samo 5 napačnih gesel na 24 ur imaš problem. In tudi če se zaobide sledeče blokade ti slednje na vsakih 5 gesel prinesejo velike zamike, ki se pri velikem številu gesel lahko spremenijo v gromno dodatnega časa. Govorim o dejanskem bruteforcanju loginov. Bruteforcanje offline podatkov je lažje ker te nič ne ovira ampak moraš najprej priti do njih.
Angry Sheep Blog @ www.rejzor.com
fizikalac ::
Bruteforce je neuporaben če sistem ni skrajno debilno postavljen. Ne vem, se samo meni zdi samoumevno, da mora sistem javiti adminu če nekdo 5x (oz večkrat odvisno od želje po občutljivosti) zaporedoma narobe vnese geslo? Oz da blokira dostop za par ur oz za en cel dan? Sej lahko GPU preizkusi 500 mio gesel na sekundo ampak če ti sistem dovoli samo 5 napačnih gesel na 24 ur imaš problem. In tudi če se zaobide sledeče blokade ti slednje na vsakih 5 gesel prinesejo velike zamike, ki se pri velikem številu gesel lahko spremenijo v gromno dodatnega časa. Govorim o dejanskem bruteforcanju loginov. Bruteforcanje offline podatkov je lažje ker te nič ne ovira ampak moraš najprej priti do njih.
Sej o tem govorimo, o bruteforcanju offline hashev... Kdo bi bruteforcal online strežnik z GPUjem? WTF?
Tukaj pa mal statistike od mojga GPUja in programa oclHashcat oz cudaHashcat :)
Digests: 204058 entries, 204058 unique
Bitmaps: 21 bits, 1048576 entries, 0x000fffff mask, 4194304 bytes
Platform: NVidia compatible platform found
Device #1: Quadro FX 2700M, 511MB, 1325Mhz, 6MCU
NOTE: gpu-accel auto-adjusted to: 16
Device #1: Kernel ./kernels/4318/m0000.sm_11.64.cubin
[s]tatus [p]ause [r]esume [h]elp [q]uit => s
Status....: Running
Mode.Left.: Mask '?1?1' (24649)
Mode.Right: Mask '?1?1?1' (3869893)
Speed.GPU*: 107.6M/s
Recovered.: 0/204058 Digests, 0/1 Salts
Progress..: 688914432/95388992557 (0.72%)
Running...: 6 secs
Estimated.: 14 mins, 40 secs
dasf ::
Nekateri programi omogočajo kot charset tudi posamezne bajte, vendar samo 0x00-0xff.
Whitepixel
AMD/Linux only.
Za ugotovitev login gesla je edini način pridobitev hasha (zgoščena oblika zapisa) tega gesla iz strežnika, hash pa se potem razbije lokalno. Online bruteforcanje je vbistvu nemogoče, tudi če nebi bilo teh "čakalnih dob" po napačnih vnosih bi bilo še vedno zelo prepočasno.
Whitepixel
AMD/Linux only.
Za ugotovitev login gesla je edini način pridobitev hasha (zgoščena oblika zapisa) tega gesla iz strežnika, hash pa se potem razbije lokalno. Online bruteforcanje je vbistvu nemogoče, tudi če nebi bilo teh "čakalnih dob" po napačnih vnosih bi bilo še vedno zelo prepočasno.
Zgodovina sprememb…
- spremenil: dasf ()
fizikalac ::
Nekateri programi omogočajo kot charset tudi posamezne bajte, vendar samo 0x00-0xff.
Whitepixel
AMD/Linux only.
Za ugotovitev lgoin gesla je edini način pridobitev hasha (zgoščena oblika zapisa) tega gesla iz strežnika, hash pa se potem razbije lokalno. Online bruteforcanje je vbistvu nemogoče, tudi če nebi bilo teh "čakalnih dob" po napačnih vnosih bi bilo še vedno zelo prepočasno.
Pa hashcat tut podpira maske
?l = abcdefghijklmnopqrstuvwxyz ?u = ABCDEFGHIJKLMNOPQRSTUVWXYZ ?d = 0123456789 ?s = !"#$%&'()*+,-./:;<=>?@[\]^_`{|}~ ?h = ISO-8859 characters from 0xc0 - 0xff
kar je ubistvu od 0x00-0xFF
darkolord ::
Zakaj ? Valjda ne boš izzival usode s prekratkim ključem. In ker ti že dva znaka prineseta več kot teh 1000x, to pomeni, da si se šel zaj* z noro kratkimi passwordi.Jah, problem je pri praktičnosti. 10+ različnih 30 mestnih gesel, ki ustrezajo napotkom o varnih geslih, si pač za enega povprečnega uporabnika ni ravno mačji kašelj zapomniti.
Za password valjda uporabiš tako dolg ključ, da ti o tem ni treba razmišljat.
fizikalac ::
Bruteforcat 8 mestni nabor znakov 0x00-0xFF bi z mojim čist solidnim GPUjem NVIDIA Quadro FX2700 uzel 104 leta tko da don't worry. Ampak še vedno je pa vsaj 10x hitrej kt CPU.
BigWhale ::
dacker ::
Za tiste ki jih skrbi lahko za lastne rešitve uporabite nad geslom (+ "salt") kakšen sha512 in potem še whirlpool algoritem. Ali pa celo AES šifrirano geslo pa je mir.
Problem pa je, kolikor opažam, da večinoma podjetja še vedno uporabljajo md5 šifriranje nad gesli. Čeprav je bilo to že zdavnaj označeno kot zastarelo. Je pa dobro če bom kdaj pozabil kakšno geslo lahko grem lepo md5crack nad piškotki delat ;)
Problem pa je, kolikor opažam, da večinoma podjetja še vedno uporabljajo md5 šifriranje nad gesli. Čeprav je bilo to že zdavnaj označeno kot zastarelo. Je pa dobro če bom kdaj pozabil kakšno geslo lahko grem lepo md5crack nad piškotki delat ;)
dasf ::
Bruteforcat 8 mestni nabor znakov 0x00-0xFF bi z mojim čist solidnim GPUjem NVIDIA Quadro FX2700 uzel 104 leta tko da don't worry. Ampak še vedno je pa vsaj 10x hitrej kt CPU.
Za crackanje takega gesla v enem dnevu bi rabil cluster iz okoli 7000 AMD Radeon 6970 grafičnih. Kar znese okoli 2.5 miljona $. (Mogoče kakšen količinski popust?)
V kriptografiji so gesla oz. šifrirni algoritmi, ki veljajo za varne ne dajo razbiti v realnem času tudi če bi združili vso računsko moč na Zemlji. Npr. izračunavanje zasebnega RSA ključa, ki uporablja dovolj velik javni eksponent bi (z vso računsklo močjo na Zemlji) trajalo dalj od starosti vesolja.
fizikalac ::
Bruteforcat 8 mestni nabor znakov 0x00-0xFF bi z mojim čist solidnim GPUjem NVIDIA Quadro FX2700 uzel 104 leta tko da don't worry. Ampak še vedno je pa vsaj 10x hitrej kt CPU.
Za crackanje takega gesla v enem dnevu bi rabil cluster iz okoli 7000 AMD Radeon 6970 grafičnih. Kar znese okoli 2.5 miljona $. (Mogoče kakšen količinski popust?)
V kriptografiji so gesla oz. šifrirni algoritmi, ki veljajo za varne ne dajo razbiti v realnem času tudi če bi združili vso računsko moč na Zemlji. Npr. izračunavanje zasebnega RSA ključa, ki uporablja dovolj velik javni eksponent bi (z vso računsklo močjo na Zemlji) trajalo dalj od starosti vesolja.
Ja, ne v polinomnem času oziroma rabš kvantni procesor, ane? Sej to vemo :) Ampak dejstvo je, da ma 90% ljudi šibko geslo in noben hashing algoritem ne pomaga...
joebanana ::
md5 + salt pa nov noben direkt skracku razen če še salt ratal ukrast pa še potem bi rabu nekaj časa za nove tabele zgenerirati. Kdor ma pa sam v md5 je pa vseen če bi mel v tekstovni obliki. Sicer je pa md5 deprecated in nadomestilo SHA.
dasf ::
Da pridobiš hash potrebuješ dostop do strežnika, če imaš to pa dobiš tudi salt.
Mavrične tabele potem potrebuješ nove, ja. Se pa tabele ne uporabljajo veliko, ravno zaradi tega, bruteforce je bolj popularen.
MD5 je že nekaj časa "zastarel" in naj se nebi več uporabljal, a je tega še vedno veliko.
Mavrične tabele potem potrebuješ nove, ja. Se pa tabele ne uporabljajo veliko, ravno zaradi tega, bruteforce je bolj popularen.
MD5 je že nekaj časa "zastarel" in naj se nebi več uporabljal, a je tega še vedno veliko.
Zgodovina sprememb…
- spremenil: dasf ()
metalc ::
Jah, problem je pri praktičnosti. 10+ različnih 30 mestnih gesel, ki ustrezajo napotkom o varnih geslih, si pač za enega povprečnega uporabnika ni ravno mačji kašelj zapomniti.
Zato pa obstaja (mislim, da je celo odprtokoden) programček Password Safe za Windows ali kaj podobnega za druge OS, ki ti hrani vsa gesla in jih na zahtevo skopira v clipboard (čez nekaj časa jih tudi zbriše). Tisti en passphrase (tam mu pravijo master password) za (od)šifriranje datoteke z gesli (mislim, da je AES) si pa že zapomniš....
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Rdečelaske izbirajo najbolje, moški so za raznolikost, ženske za dolžino (strani: 1 2 )Oddelek: Novice / Varnost | 26113 (21913) | MrStein |
» | AES 256-bit in pozabljeno gesloOddelek: Pomoč in nasveti | 2065 (1892) | technolog |
» | Razbijanje gesel z GPU je realnost (strani: 1 2 3 )Oddelek: Novice / Varnost | 30609 (25040) | MrStein |
» | Zla koda v grafičnih procesorjihOddelek: Novice / Grafične kartice | 4003 (2950) | denial |
» | Internetna in mrežna geslaOddelek: Informacijska varnost | 1834 (1833) | jerneju |