Tietomurtoaaltokeskustelu

Keskustelua tietoturvasta ja varmuuskopioinnista Mac-, iPhone- ja iPad -käyttäjien näkökulmasta
Avatar
gramdel
Viestit: 4927
Liittynyt: 10.5.2005 klo 12.56
Paikkakunta: Joensuu

Re: Tietomurtoaaltokeskustelu

Viesti Kirjoittaja gramdel »

eskofot kirjoitti:Minusta oheinen Florida State Universityn testi tukee kantaani siitä, että yhdistäminen ei oikein onnistu. Tässä hyökätään ankarasti ja vain neljännes salasanoista saadaan murrettua, tekniikkana dynaaminen arvaaja. Eli salasana saadaan selville kokeilemalla. Näinkö tää menee?
http://www.defcon.org/images/defcon-17/ ... swords.pdf
Niin no arvaamalla toki juu, mutta kyllä se salasanahash on yhdistetty käyttäjätunnukseen, ei se liity tekniikkaan, mitä käytetetään murtamiseen. Ja kyllähän tuossa saatiin 95% murrettua ja loputkin olisi murtunut ajan kuluessa.

eli tietokantaan on tallennettu käyttäjätunnus ja salasanahash:

username password
käyttäjä e7e941b1f09f266540c6780db51d5f58

Tuota sitten lähdetään testaamaan, md5(salasana) = e7e941b1f09f266540c6780db51d5f58

Tässä juurikin tulee saltin tärkeys, tietokantaan tallennetaan yksinkertaistettuna kryptattu muoto jostain tekstistä+salasana, esim:

md5(salt+salasana) = 61fd5abc222a6a0fc2d3974de37220c2

Kun tämä murtuu saa murtaja tietoonsa tekstin saltsalasana, tällä ei kuitenkaan pääse kirjautumaan palveluun, koska pelkkä salasana ei ole tiedossa.
Isomursu kertoo, että delfiinikaksikko oli emo ja poikanen.
http://gramdel.kapsi.fi/
Ylös
eskofot
Viestit: 4384
Liittynyt: 21.2.2004 klo 10.52

Re: Tietomurtoaaltokeskustelu

Viesti Kirjoittaja eskofot »

gramdel kirjoitti: Niin no arvaamalla toki juu, mutta kyllä se salasanahash on yhdistetty käyttäjätunnukseen, ei se liity tekniikkaan, mitä käytetetään murtamiseen. Ja kyllähän tuossa saatiin 95% murrettua ja loputkin olisi murtunut ajan kuluessa.
Eikö se sanonut 34 % ja syynä se, että salasanojen arvaukseen käytettiin listaa toiselta saitilta, salasana "password" esiintyi yli 1000 kertaa.
SCSI Probe & SyQuest 44
Ylös
tosikko
Viestit: 7466
Liittynyt: 28.5.2004 klo 1.44

Re: Tietomurtoaaltokeskustelu

Viesti Kirjoittaja tosikko »

Napsu.fi-sivustoon on kohdistunut törkeä tietomurto. Lista rekisteröityjen käyttäjien käyttäjätunnuksista, sähköpostiosoitteista ja selkokielelle muutetuista, kryptatuista salasanoista on vuodettu nettiin tänään lauantaina 3.12.

http://www.hs.fi/kotimaa/Tietovuotojen+ ... 5550604512
Ylös
iPadi
Viestit: 2796
Liittynyt: 1.7.2011 klo 11.05

Re: Tietomurtoaaltokeskustelu

Viesti Kirjoittaja iPadi »

Koskakohan homppuun tulee tietomurto 8)
Ylös
kamina
Viestit: 2564
Liittynyt: 5.4.2006 klo 21.38

Re: Tietomurtoaaltokeskustelu

Viesti Kirjoittaja kamina »

gramdel kirjoitti: eli tietokantaan on tallennettu käyttäjätunnus ja salasanahash:

username password
käyttäjä e7e941b1f09f266540c6780db51d5f58

Tuota sitten lähdetään testaamaan, md5(salasana) = e7e941b1f09f266540c6780db51d5f58
Nykyäänhän noita yleensä testataan ensin ns. rainbow table menetelmällä, eli koneella on kymmeniä gigatavuja md5 hashejä ja etsitään suoraan hashillä löytyisikö haettua.

MD5 on salauksena tosi heikko, moni eri salasana voi tuottaa saman hashin. Ei siis tarvitse testata jokaista salasanaa jos löytyy jo sopiva joka tuotaa sen kyseisen hashin.
Tässä juurikin tulee saltin tärkeys, tietokantaan tallennetaan yksinkertaistettuna kryptattu muoto jostain tekstistä+salasana, esim:

md5(salt+salasana) = 61fd5abc222a6a0fc2d3974de37220c2
Jep, eli se saltin tärkeys korostuu juurikin siinä ettei voida käyttää helposti rainbow table hyökkäyksiä. Sen sijaan voidaan luoda oma tunnus ja asettaa sille heikko salasana. Sen jälkeen voidaan testata kaikkia eri salt vaihtoehtoja kunnes se täsmää hashiin, ja sitten kattoa toimiiko sama myös muille käyttäjille...

Jonka vuoksi turvassa ollaan vasta kun salt on käyttäjäkohtainen.
Ylös

Palaa sivulle “Tietoturva ja varmuuskopiointi”