passord - fremdeles den store synderen?
DESCRIPTION
Dette er min presentasjon fra ISF Norge sin høstkonferanse i Larvik, 29-31 august, 2011. Stikkord er passord, hash- og krypteringsalgoritmer, statistikk, svakheter og tips til hvordan passord bør lagres og sendes over nett.TRANSCRIPT
Passord:fremdeles den store synderen?
Per ThorsheimCISA, CISM, CISSP-ISSAP
@thorsheim #passwords #ISF_NOEDB Ergogroup
”Sikkerhetstenketanken”- Vi er 10 stk i Bergen som møtes jevnlig til ”Mat & Prat”- Ulik bakgrunn, kompetanse og stillinger- Målsetning: gi fornuftige råd om sikkerhet- Alt vi sier, skriver og gjør er på egen regning & ansvar
Oddbjørn ThomasPer Erlend Lars Erik Per-Arne Terje Alexander Jan FredrikThomas
Xkcd 936
NIST SP800-63
Bilde fra: Reusablesec.blogspot.com
Mer lesestoff: http://en.wikipedia.org/wiki/Password_strength
Første varsel
Mottatt pr mail:
Er du kunde her?
Da bør du:1. Klage på dårlig sikkerhet2. Skift passord til noe helt unikt
Passord: Angrepsvektorer
Angrepsvektorer (OWASP 10)
A1: InjectionA2: Cross-Site Scripting (XSS)A3: Broken Authentication and Session ManagementA4: Insecure Direct Object ReferencesA5: Cross-Site Request Forgery (CSRF)A6: Security MisconfigurationA7: Insecure Cryptographic StorageA8: Failure to Restrict URL AccessA9: Insufficient Transport Layer ProtectionA10: Unvalidated Redirects and Forwards
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
Mangelfull input kontroll
Dårlig konfigurasjonHashing / kryptering
SSL/TLS
Tyvegods på avveie:
Skjermbilde fra pastebin.com
Tyvegods på avveie:
Skjermbilde fra paste2.org
Tyvegods på avveie:
Skjermbilde fra forum hos insidepro.comMerk: InsidePro er et legitimt selskap!
Hva er ditt passord?
Length distribution
7 8 9 10 11 12 13 14 150
5
10
15
20
25
30
35
40
45
50
Minimum length requirement
Pos 1
Pos 2
Pos 3
Pos 4
Pos 5
Pos 6
Pos 7
Pos 8
Pos 9
Pos 10
Pos 11
Pos 12
Pos 13
Pos 14
01020304050
Per Position Entropy – LM/NTLM
LM (non-case sensitive)
Pos 1
Pos 2
Pos 3
Pos 4
Pos 5
Pos 6
Pos 7
Pos 8
Pos 9
Pos 10
Pos 11
Pos 12
Pos 13
Pos 14
0
20
40
60NTLM (Case Sensitive)
# Unique Characters (NTLM)
1 2 3 4 5 6 7 8 9 10 11 12 130
5
10
15
20
25
30
35
40
45
Password formats (NTLM)
ULL
LLLN
N
ULL
LLNNN
ULL
LLLN
NNN
ULL
LLNNNN
ULL
LLLL
LNN
ULL
LLLL
NNNN
ULL
LLLL
LNNNN
ULL
LNNNN
ULL
LLLL
LN02468
10121416
Passordknekking
Offline passordknekking
En rekke verktøy og teknikker er tilgjengelig• Rainbowtables• Ordliste angrep• Ulike typer hybride og logiske angrep• Bruteforce (Rå makt!)• Og glem ikke: jeg har tiden på min side!– (hvor ofte skifter du passord på nettsider?)
Rainbow Tables (wikipedia)
A rainbow table is a precomputed table for reversing cryptographic hash functions, usually for cracking password hashes. Tables are usually used in recovering the plaintext password, up to a certain length consisting of a limited set of characters. It is a form of time-memory tradeoff, using less CPU at the cost of more storage. Proper key derivation functions employ salt to make this attack infeasible. Rainbow tables are a refinement of an earlier, simpler algorithm by Martin Hellman that used the inversion of hashes by looking up precomputed hash chains.
Freerainbowtables.com
• LM_cp437-850_1-7 • Dekker lengde 1-14 • 566Gb (1400+ filer), med følgende tegnsett:
Freerainbowtables.com
1Uppercase
5 lowercase 2 lowercaseor 2 digits
or mix
1-3 digits
A ugust 20 11
Lastpass.com
Source: http://blog.lastpass.com/2011/05/lastpass-security-notification.html
Thomas Ptacek
Enough With The Rainbow Tables: What You Need To Know About Secure Password Schemes
http://chargen.matasano.com/chargen/2007/9/7/enough-with-the-rainbow-tables-what-you-need-to-know-about-s.html
Chris Lyon
• “SHA-512 w/ per User Salts is Not Enough”• http://cslyon.net/2011/05/10/sha-512-w-per-user-salts-is-not-enough/
Anbefalinger
NorSIS / Nettvett
X
Passord tips til sluttbruker
Glem passord. Glem passfraser.Bruk en setning.Endre ved behov.
• Min / maks lengde• Kompleksitetskrav• Passordhistorikk• Endringsfrekvens• Reautentisering• Single Sign-On?• Glemt passord
• Max lenge 255• Nei (bruk lengde!)• Ja, i tilfelle krise• LAAAAAAAAAAANG!• Lite brukervennlig• Google Authenticator• Out-of-Band
Policy / teknisk implementering
Glemt passord?
• Brukernavn, passord, URL (systemnavn/IP)– Bruk 2 kanaler, for eksempel mail og SMS– Bare send det brukeren ber om– Bruk minst eksponert kanal for passord (sms)
KISSKeep It Simple, Stupid!
Mer informasjon (video, ppt)
• http://ftp.ii.uib.no/pub/– finse2011 (NISNET vinterskole 2011)– Passwords10– Passwords11
• http://en.wikipedia.org/wiki/Password_strength• Blogg: securitynirvana.blogspot.com• Twitter: @thorsheim
Takk for meg!
Per ThorsheimTlf. 90 999 259
Linkedin.com/in/thorsheimSecuritynirvana.blogspot.com
Twitter: @thorsheim