Tudom mit adtál meg jelszónak tavaly

2007. november 22. 10:10 - Csizmazia Darab István [Rambo]

Semmi új nem lesz ebben a mai cikkben - hehe, ez aztán a remek kedvcsináló - legalábbis annak, aki benne él a számítógépes biztonságban. Két aprócska módszert mutatunk be jelszó fronton - az újszülöttnek minden vicc új alapon - aztán lehet hüledezni annak, aki esetleg nem ismerte. Csak egyet nem mondhat majd senki, hogy a látottnak fényében neki aztán nincs semmi vesztenivalója, neki nem kell vigyáznia.



Biztos emlékeznek az Index olvasók a rainbow táblákról szóló cikkre, már a címe is impozáns volt: Percek alatt fejti meg jelszavainkat az új hackerszerszám. Ebben sok minden igaz volt, de hogy ez új lenne? Szerencsére akkor Buhera kolléga történelmileg helyretette a dolgokat.

Az hogy az MD5 titkosító algoritmussal is lehet bűvészkedni, nem újdonság, ennyit az egyirányúságról. Egy tegnapi érdekes HVG cikk után játszogattunk el három ilyen oldallal ( http://md5.rednoize.com , a http://www.md5oogle.com és a  http://md5.cryptobitch.de ), és igen, szépen működik a dolog. Az, hogy a Google segítségével pedig keresni is lehet ilyesmikre, jól felhívja a figyelmet arra, ne ringassuk magunkat hamis illúziókba vélt fórumos vagy egyéb biztonságunkat illetően.



A másik érdekesség egy aprócska JavaScript kód. A szkripteket sokan hajlamosak lebecsülni, pedig segítségükkel sok hasznos és sajnos sok kártékony dolgot is lehet művelni. Egy nyár derekán született blogbejegyzésben egy jó kis jelszóvisszafejtő készséget találtunk, ez kísérletünkben FireFox alatt még úgy is simán megmutatta a jelszavakat, hogy közben egy masterpassword védte azokat. Illetve legyünk jóhiszeműek, úgy is lehet fogalmazni, mit tegyünk, ha esetleg elveszítettük a mesterjelszavunkat? A mindössze 327 karakter hosszú - ebben már a kiiratások is benne vannak - szkriptet bemásolva Firefox címsorába egy ablakban egy könnyed laza csuklómozdulattal felkínálja a hiányzó, az aktuális laphoz tartozó jelszót az elmentett adatbázisból. Bár a cikk azt állítja, Opera és IE alatt is megy, nekünk ez sajna nem működött, ha valakinek mégis sikerült, kérjük írjon egy kommentet!



Sokszor teszik fel a kérdést a barátok, ismerősök, miért kell ennyire paranoiásnak lenni, miért kéne vigyázni egy átlagembernek ennyire? Pont belefutottam egy jó kis Öveges professzor szintű felvilágosító anyagba, minden szónál többet ér egy megfelelő YouTube videó,ez következik most.

 
 
 
 
 


A tanulság mindenképpen az, hogy jobban kell óvni a jelszavakat, ha pedig mi írunk programot, az MD5 hash függvény bamba alkalmazása helyett vigyünk további csavarokat, saját változókat és XOR-olásokat is az MD5 használatába, hiszen a számítógépek teljesítménye évről évre növekszik. Ezzel kapcsolatban érdemes az MD5 történetben hivatkozott eredeti blogbejegyzés kommentjeit is átböngészni. A jelszavakat pedig közösen használt gép esetében SOHA ne mentsük el a böngészővel.
6 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

buherator · http://buhera.blog.hu 2007.11.22. 15:02:40

A kriptográfiai algoritmusok esetében abból kell kiindulni, hogy a támadó ismeri azt, ezért a legjobb amit a programozó tehet az, hogy megköveteli az erős jelszavak használatát.
Persze hangos káromkodásokra bírja ösztönözni a támadókat, ha pl. a jelszavakat a felhasználónevekkel konkatenálva hashelik (saját tapasztalat ;)), de egy megfelelően eltökélt hackernek nem jelent akadályt egy, az új "igényekhez" igazított jelszótörő program megírása.

Egyébként jó kis poszt lett, gratula!

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2007.11.22. 23:07:16

Szia Buherator :-)
Az említett extra konkatenálásról jutott eszembe, hogy pár éve csináltam egy admin felületes PHP-s cuccot egy cégnek, és most mint akit a tatár kerget, gyorsan megnéztem, nem szúrtam-e el, mi a helyzet ott. Hála Istennek, már benne vannak a rambo-állandók meg az XOR a kutya oltási bizonyítványával plusz a dátum...

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2007.11.30. 18:11:18

Közben láttam egy ilyet is:
computerworld.co.nz/news.nsf/scrt/C50D36EFEC2B482ACC2573A00070EF83
Hehe, ez már december elsejei cikk :-)
Egy újzélandi biztonsági szakértõ az aucklandi kiwicon rendezvényen olyan Sony PlayStation 3 alkalmazást mutatott be, mellyel nagyon gyorsan lehet készíteni MD5 szignatúrákat. Nick Breese másodpercenként 1,4 milliárd hash-lenyomatot képes elõállítani tetszõleges - akár szótárból vett - karaktersorozatokhoz, stb...

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2007.11.30. 19:17:34

Mea Culpa, közben láttam a mai bejegyzésedet :-)

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2010.02.25. 11:26:57

Most látom, hogy az md5oogle oldalt legyakták, és eladó... Az md5crack viszont azóta is él és virul.

titan 2010.04.26. 17:32:22

@Csizmazia István [Rambo]: nem kell félteni azokat, könnyedén fel lehet építeni md5- és egyéb táblákat... azért a hosszú karaktersorozatokkal konkatenált jelszavak már nem annyira könnyen visszafejthetők, hiszen exponenciálisan növelik a kellő tábla méretét. Vagy tévedek tán?
süti beállítások módosítása