Labākā paroļu "hakošanas" metode – vārdnīcas

[samurajs]

Jau daudzus gadus visos sabiedrības medijos regulāri ir “dziedāts” par nepieciešamību izvēlēties drošas paroles saviem interneta profiliem. Tomēr joprojām līdz daudziem tas nenonāk. Veikts kārtējais pētījums par tēmu: kā uzlauzt paroli? Rezultātu iegūšanai izmantoja reālu e-pasta servera datubāzi (6 milj. ierakstu) un lielas web lapas login datubāzi (3,5 milj. ierakstu). Visi dati jauni – 2015. gada maijs.

E-pasta paroļu top 3:

1. vietā login vārds sakrīt ar paroli (piem. admin – admin) – 86908 gadījumu (1.43%)

2. vietā 123456 – 82830 gadījumu (1.3%)

3. vietā qwerty – 53144 gadījumu (0.87%)

Interneta lapas paroļu top 3:

1. vietā login vārds sakrīt ar paroli – 49327 gadījumu (1.4%)

2. vietā qwerty – 33322 gadījumu (0.95%)

3. vietā 123456 – 21775 gadījumu (0.62%)

Redzam, ka procentuāli visprimitīvāko paroļu īpatsvars nemaz nav tik ievērojams, bet, ja datubāze pietiekami liela, hakeris iegūst pietiekamu daudzumu personas datu jebkuriem mērķiem. Lai vienkārši pacūkotos, pietiek paņemt jebkuras, brīvi izvēlētas 100 e-pasta adreses: pēc 3 mēģinājumiem vidēji trīs no šīm adresēm būs uzlauztas.

Parole = login + dzimšanas gads

Nākamā lielā gudrinieku grupa ir tie, kas par paroles bāzi ņem savu lietotājvārdu un tam pieliek skaitli, divus vai četrus. Pēdējos divos gadījumos visbiežāk tas ir gadu skaits vai dzimšanas gads.

Piemērs: username= masha; passw= masha1995

Paši gudrākie šādu paroli sāk ar lielo burtu un tad pārliecināti, ka tai ir 3 drošības pakāpes un neviens to neatlauzīs 🙂

Š ādu lietotāju ir vairāki procenti, īpaši interneta vietnēs.

E-pasta paroļu TOP 50

[spoil]Parole – Gadījumu skaits

123456 82830

qwerty 53144

123456789 23286

111111 13831

qwertyuiop 12399

qwe123 9021

1234567890 8364

1234567 7452

12345 6420

password 6410

12345678 6374

123321 6170

7777777 5861

123123 5533

0 4977

666666 4197

1qaz2wsx 4181

qazwsx 4143

1q2w3e4r 3982

654321 3760

555555 3539

123qwe 2973

1q2w3e4r5t 2967

zxcvbnm 2832

qweqwe 2816

gfhjkm 2806

1q2w3e 2748

klaster 2695

112233 2565

121212 2445

987654321 2371

159753 2338

777777 2204

qwer1234 2015

1234qwer 1999

qwerty123 1846

1234 1801

asdfgh 1779

abc123 1722

123654 1568

222222 1557

iloveyou 1508

987654321 1432

samsung 1427

zxcvbn 1422

ghbdtn 1313

88888888 1311

marina 1284

131313 1268

asdfghjkl 1243[/spoil]

Interneta lapu paroļu TOP 50

[spoil]

Parole – Gadījumu skaits

qwerty 33322

123456 21775

(tukša vieta) 20002

UsdopaA (spamboti) 16016

123456789 8298

1234567890 4117

qwertyuiop 2247

123321 2235

1234567 2214

1q2w3e4r5t 2142

111111 2004

1q2w3e4r 1682

123qwe 1554

123123 1364

qazwsx 1319

1q2w3e 1256

qazwsxedc 1196

qwe123 1186

qweasdzxc 1126

9379992 1020

0 1018

4815162342 1015

iloveyou 991

12345678 979

666666 977

zxcvbnm 957

asdfgh 930

Jskasgfdfjg 923

gfhjkm 914

qwertyuiop[] 904

1234qwer 899

1q2w3e4r5t6y 890

qwerty123 839

nastya 799

555555 770

987654321 755

ghbdtn 746

12345qwert 740

159753 737

loveyou 735

1234554321 716

7777777 711

1qaz2wsx 708

123123123 679

samsung 670

123qweasdzxc 662

adidas 642

asdfghjkl 641

789456123 636[/spoil]

[img]https://notepad.lv/userpix/28_89d69943a1f04dae9661aa1d99b29e5e_1.png[/img]

[Crow]

Nu bet ko var darīt, ka visādu draņķu, kas prasa reģistrēties, ir tik nejēdzīgi daudz. Es, teiksim, reģistrējos kaut kur tikai galējas nepieciešamības gadījumā, bet pat tad paroļu menedžerī ir pāri par 50 ierakstiem. Un uzskaitē ir tikai tie, kas tiek patiešām izmantoti. Nu un bez tiem ir vēl čupa ar citiem (PIN kodi, SIM PIN, durvju kods, dažādi dzelži, lalala…).

Slepena atslēga ir fundamentāls drošības zinātnes stūrakmens, tam nav praktiska aizvietotāja. Bet atcerēties 50 unikālas un drošas paroles vienkārši nav reāli, tāpat kā iemācīt katram lietot paroļu menedžeri.

Pie reizes – a davai pastrīdamies, kāda parole ir labāka un drošāka:

* īsa, bet ar aizvietotiem simboliem (N0t3p@d!V4)

* ļoti gara, bet ar vārdnīcas vārdiem (NotepadUzAugšuUzLejuProfilsVēstules)

* otrā varianta hash summa (da39a3ee5e6b4b0d3255bfef95601890afd80709)

* cits variants (kaut kāds OpenID, piemēram)

* cits cits variants

?

[samurajs]

Manuprāt sakarīga parole būtu tāds jēdziens, kurš tikai šaurā lokā zināms – kautkāds žargona vārds, kurš nav nevienā vārdnīcā, un kas nezinošai tautai neko neizsaka.

Nu piem. vienam vīrelim bija palama Ceturtdaļpolšs 😀

Ceturtda£Pol$s – pats neaizmirsīsi un neviens neuzminēs 😀

[Y]

Man paroles ir random sitieni pa klaviatūru:

c’;lkck9-c8=i[rkl’kmC<"L:]=0fcsaci0=]°ikc3opa}:swf0op]°=2o3klty; :D Savulaik glabāju tos plain text failos ātram copy-paste, bet tā jau nevar. 😀

[ruukjis]

Kādu laiciņu atpakaļ biju CERT seminārā un tur stāstīja, ka garas paroles esot daudz labāka ideja par īsām, bet sarežģītām, jo vieglāk atcerēties un brūtforcēt arī daudz grūtāk. Piemēram, http://www.mansVards_unUzvards.lv vai Eju_uz_majam_pieliet_seju! Savukārt P1d3ra$, te jāsāk domāt: “pag, pag… toč $… varbūt tomēr 5, a varbūt ! nevis 1, utt. Turklāt tikai 7 simboli.

[oyo]

[img]https://imgs.xkcd.com/comics/password_strength.png[/img]

drīz būs ievākts liels daudzums vārdu/paroļu – cilvēki sāks pieiet no radošās puses un veidos saliktus pakārtotus teikumus.

Būtu jauki ja vēl lapu uzturētāji visu tik tiešām hašotu un bērtu vēl sāli pa virsu.

Piemēram atceros ka, lkm, SEB bankai bij tā ka liek ik pa laikam nomainīt paroli un tad ir tas joks ja nomaini tikai pāris simbolus, tad bļauj par to ka parole ir pārāk līdzīga vienai no iepriekšējām — pieņemu ja servera pusē neglabātu paroli plain textā, tad šādu joku nevarētu izkalkulēt (protams nebrūtforsojot jau sahašoto paroli, kas jau būtu smieklīgi)

[ruukjis]

Par SEBu, es nedomāju, ka ir tik traki, pieņemu, ka darbojas pēc līdzīga principa kā, piemērma, Aktīvā Direktorija – paroles tiek hashotas ar viņiem vien zināmu algoritmu, attiecīgi, ja tev ir zināms algoritms, tad vari jebkurā brīdi athashot kādu paroli un pārbaudīt – tas tā vienkāršoti skaidrojot.

[Crow]

Parole nevis izdzīta caur kompresijas funkciju, bet šifrēta ar kaut kādu bankas slepeno atslēgu (vai vairākām) enīvej ir garām. Ja banka pazaudē šīs atslēgas un algoritms top zināms (jei bogu vēl pašcepts, kuram adekvāts lauznis nav mēģināts principā), visas paroles uzreiz ir praktiski kā plaintekstā. Bankai tāpat ir pieeja visiem maniem datiem, atbilstošu darbinieku privilēģijām, neviens cits nedrīkst zināt manu paroli!

[ruukjis]

Es teicu: “tas tā vienkāršoti skaidrojot.”

Te būs pa sarežģīto:

https://technet.microsoft.com/en-us/library/hh994558

Es esmu pa slinku/dumju, lai iedziļinātos sīkāk, bet nu gan jau nav tā, ka nosper kaut kādu atslēgu un laimīgs lauz vaļā uz AD bāzētus domēnus.

[Crow]

Ja visi esam tik atklāti, es izmantoju grāmatu paragrāfus izdzītus caur Tiger/192 izdzītus caur Ascii85. Pietiekami pseudo-random, tikai ar recovery iespēju.

Bet te man nāk prātā vēl kāda problēma un proti – man būtu jāvar kaut visu bībeli ierakstīt paroles laukā, jo parolei tāpat ir jātop izdzītai caur kompresijas funkciju. Minimālo garumu es saprotu, bet maksimālais man nekādi nav izprotams. Nu labi, kaut kāds resursu limits eksistē, bet ne jau 16 vai 24 simboli.

[Crow]

Likewise, bet melst ta gribās!

Aber tagad tā. Athešot principā neko nevar varēt. Ja var, tāds algoritms zaudē visu jēgu. Ir šifrēšana (atgriezenisks process) un ir hash (neatgriezenisks). Nu tikai tā, pārbaudu. Un informācijai garāmgājējiem šai topikā. Jo uz šo divu fundamentālo jēdzienu vitāli svarīgo atšķirību izpratni diemžēl paļauties nevar pat mācītu veču vidū.

Tālāk. LM un NTLM tika paņemti pie dziesmas jau diezgan atpakaļ. LM hash vispār šodien var bruteforsēt pāris sekundēs, jo algoritms ir vienkārši idiotisks un primitīvs. NTLM balstās uz MD4, bet NTLMv2 uz MD4 un MD5-HMAC. Uz HMAC kolīziju atrašana būtisku lomu nespēlē, tāpēc drošība joprojām ir līmenī. Vot tikai kur kaut kas ir minēts par paroles atgūšanu, nevaru atrast.

Bet vispār jā, Active Directory administrators var ieslēgt īpašu opciju paroli šifrēt, nevis hašot, bet ne velti jamie paši saka, ka tā darīt nevajag, jo efekts ir precīzi tāds kā es teicu – piekļūstot admina kontam tālāk vajag tik rakt:

https://technet.microsoft.com/en-us/library/cc784581%28v=ws.10%29.aspx

https://blog.teusink.net/2009/08/passwords-stored-using-reversible.html

Īpašu uzmanību ieteicu pievērst rindai:

Quote:

This key is decrypted using a static key (hardcoded in the DLL)

Ja tiešām SEB ir kas kaut tikai principā līdzīgs, tad es priecājos, ka es un man zināmie ļautiņi nav viņu klienti. Un, ja kas, es nebrīnītos, ja tiešām tā. Atminos, ka savulaik saistībā ar Dirsāpass Nano es pacēlu neērtus jautājumus tieši nepietiekami pārbaudītu metožu sakarā:

https://notepad.lv/raksti/14972/digipass-nano—kas-tas-ir/

[Aldis]

Ne tikai seb-am tas joks.. parexam (CitamDēlim) arī.. Tas tiešām drošības sajūtu nevieš..

[ruukjis]

Papētīju AD, vispār tas princips tur tomēr ir savādāks – AD nebļaustas, ja tev ir līdzīga parole, tas bļaustas, ja tev ir tāda pati parole… tā kā jā – SEB smird, bet to jau es zināju arī bez viņu vipendroniem ar parolēm 😀

[Autors]

Ieraksti