Schede video per svelare le password?

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwupgrade.it/news/sicurez...ord_23038.html

Brevettata una tecnica che utilizza le schede video per accelerare i tempi necessari alla scoperta delle password

Click sul link per visualizzare la notizia.

[int main ()]

ma io non ho capito bene una cosa..... questi brevettano un modo per craccare i pc della gente e nessuno gli dice o fà niente? diemi che ho capito male plz

[JOHNNYMETA]

Pauroso quindi tra un po' avere password a 10 o 20 numeri sarà come avere password monocifra, cioè come non averla

[Ntropy]

Quote:

Originariamente inviato da int main ()

ma io non ho capito bene una cosa..... questi brevettano un modo per craccare i pc della gente e nessuno gli dice o fà niente? diemi che ho capito male plz

Non crackano pc ma algoritmi di crittografia, vengono studiati per scoprirne i punti deboli e le possibile falle, in questo modo li rendono migliori non credi?

[DevilsAdvocate]

Bah, un buon sistema non teme attacchi brute force: ad esempio al quarto o quinto
tentativo andato male introduce un ritardo di 1 secondo che raddoppia per
ogni ulteriore tentativo fallito fatto nella stessa giornata.
(dopo 14 tentativi servono 20 minuti, più di una 20ina di tentivi
"a caso" al giorno non si posson fare).

Se le banche non sono manco arrivate a questo allora farebbero bene
ad assumere dei veri esperti e non dei raccomandati.

[ilsensine]

Oh mamma, ci mancava il brevetto sul coprocessore!

[DevilsAdvocate]

Quote:

Originariamente inviato da JOHNNYMETA

Pauroso quindi tra un po' avere password a 10 o 20 numeri sarà come avere password monocifra, cioè come non averla

Fuffa, questo vale solo per i sistemi progettati male.
Per quelli fatti bene bastano i tipici 6 caratteri alfanumerici
(per esempio quelli che chiede UNIX).

[Tasslehoff]

Quote:

Originariamente inviato da int main ()

ma io non ho capito bene una cosa..... questi brevettano un modo per craccare i pc della gente e nessuno gli dice o fà niente? diemi che ho capito male plz

Questi non hanno brevettato un modo per craccare i pc della gente, quello che fanno è già possibile ora, semplicemente con questo sistema si sfrutta meglio la capacità di elaborazione del pc e si velocizza l'operazione...

Poi tu vedi la cosa solo da un punto di vista, a me ad es è capitato più volte di risparmiare parecchio tempo facendo il bruteforce di una password (nel caso specifico la password di un id di Lotus Notes) con un software apposito che non creare da zero un nuovo utente e settare tutti gli accessi necessari.

Le tematiche di sicurezza non possono essere ridotte a una semplice password, qui sta il problema

[Bisont]

si ma ad esempio con XP si frega un filettino che non mi ricordo (letto sui libri di Mitnick) e poi si fa l'attacco bruteforce su quello, tranquillamente a casa nel tuo pc.... poi una volta scoperta la password vai sul sistema con la password sicura...il sistema che dici te funziona solo se agisci direttamente dal mezzo di immissione password predefinito... ma se attacco direttmente i files dove sono contenute le password...

[ilsensine]

Quote:

Originariamente inviato da Tasslehoff

Questi non hanno brevettato un modo per craccare i pc della gente, quello che fanno è già possibile ora, semplicemente con questo sistema si sfrutta meglio la capacità di elaborazione del pc e si velocizza l'operazione...

Ecco appunto, quello che hanno sempre fatto i coprocessori.

Complimenti al femtocefalo di turno dell'ufficio brevetti, non era facile accettare una cosa simile. Neanche negli USA.

[darkbasic]

L'utilizzo di un coprocessore (perché di questo si tratta) _non_ dovrebbe essere brevettabile, anche se la cosa non mi stupisce (ormai si brevettano pure i protocolli...)
Per chi crea allarmismi: sono richieste decine di anni per portare a termine un attacco esaustivo su una chiave aes 256 bit, utilizzando una gpu il tempo scenderebbe a qualche anno. Direi che si può stare abbastanza tranquilli, non trovate? Non tutti gli algoritmi sono deboli come quelli che utilizza la MS in windows...

Edit: nel frattempo che postavo avete scritto una pagina intera mi sembrava strano che ilsensine non avesse ancora postato...

[Kralizek]

lol @ femtocefalo!

[Kralizek]

Quote:

Originariamente inviato da Bisont

si ma ad esempio con XP si frega un filettino che non mi ricordo (letto sui libri di Mitnick) e poi si fa l'attacco bruteforce su quello, tranquillamente a casa nel tuo pc.... poi una volta scoperta la password vai sul sistema con la password sicura...il sistema che dici te funziona solo se agisci direttamente dal mezzo di immissione password predefinito... ma se attacco direttmente i files dove sono contenute le password...

beh anche linux conserva le password in un unico file (/etc/passwd o /etc/shadow) o ricordo male?

[ChillingSP]

C'è una valutazione che va oltre al livello di " massaia informatica " da parte di Jeff Atwood
http://www.codinghorror.com/blog/archives/000986.html

[ilsensine]

Quote:

Originariamente inviato da darkbasic

Edit: nel frattempo che postavo avete scritto una pagina intera

Stai accedendo al forum con telnet? Puoi anche usare links sai

[ilsensine]

Quote:

Originariamente inviato da Kralizek

beh anche linux conserva le password in un unico file (/etc/passwd o /etc/shadow) o ricordo male?

shadow contiene solo gli hash delle password, potrebbero essere utili ma comunque non è leggibile dagli utenti normali.
Credo bene che anche windows conservi gli hash in posti sicuri.

[Mazzulatore]

Quote:

Originariamente inviato da DevilsAdvocate

Bah, un buon sistema non teme attacchi brute force: ad esempio al quarto o quinto
tentativo andato male introduce un ritardo di 1 secondo che raddoppia per
ogni ulteriore tentativo fallito fatto nella stessa giornata.
(dopo 14 tentativi servono 20 minuti, più di una 20ina di tentivi
"a caso" al giorno non si posson fare).

Se le banche non sono manco arrivate a questo allora farebbero bene
ad assumere dei veri esperti e non dei raccomandati.

Lo fanno ma qua non si tratta di calcolo al login, diciamo che sul sistema tu puoi (dove puoi) accedere alla password cifrata e tramite calcolo brute force ottieni la password. brute force codifica tutte le combinazioni di caratteri finche la codifica non corrisponde alla password cifrata, e ci vogliono giorni o mesi o anni. Stesso discorso per zip e rar, provi le combinazioni finchè non ti ritrovi con dei dati in chiaro che hanno senso secondo il CRC depositato sullo stesso file.

[DevilsAdvocate]

Quote:

Originariamente inviato da Bisont

si ma ad esempio con XP si frega un filettino che non mi ricordo (letto sui libri di Mitnick) e poi si fa l'attacco bruteforce su quello, tranquillamente a casa nel tuo pc.... poi una volta scoperta la password vai sul sistema con la password sicura...il sistema che dici te funziona solo se agisci direttamente dal mezzo di immissione password predefinito... ma se attacco direttmente i files dove sono contenute le password...

? Se il file è fatto bene, non trovi caratteri riconoscibili
(il file codifica tutto tranne i separatori tra una password e l'altra,
o usa separatori che non siano prevedibili a priori, in modo che
tu non possa aggrapparti a niente di conosciuto a priori)
e quindi se anche tu sapessi l'algoritmo che codifica il file di password,
potresti usare quel file solo in catena col servizio stesso, cioè come fosse
un dizionario (ugualmente non ne caveresti un ragno dal buco là
dove il massimo numero di accessi falliti ad un account è 20 al giorno,
ti basterebbero "solo" 100'000 giorni invece che 2 miliardi....).
Del resto 62 caratteri (maiuscole, minuscole e cifre) ^6 = 56'800'235'584 combinazioni,
a 20 al giorno si fa come i computers di Douglas Adams (che dopo 42
generazioni a malapena ricordano la domanda iniziale... se la sanno).

Discorso diverso per i files pdf/rar codificati con password, lì il brute force
è possibilissimo e questo metodo può pure servire a qualcosa, a patto di poter
sapere prima qualche dettaglio sul file che si vuole aprire (ad esempio l'header dei
files contenuti, o la ricorrenza continua del carattere spazio in caso di files di testo, etc.etc.).

[homero]

il timing introdotto per immetere una password serve a poco...in quanto quelli che devono forzare un sistema lo fanno tramite imagine ram....
non parliamo dei sistemi di accesso online ovviamente....
ma di crackare una pass di un computer fisso....
il grosso problema è che oggi molti dati sono crittografati e questo è un problema per chi come gli esattori dello stato vogliono verificare i conteggi....

ma l'unica soluzione per proteggere la propria privacy è utilizzare un metalinguaggio. è l'unica soluzione....
la crittografia ormai serve a poco.........
quindi W i metalinguaggi....sono i nuovi sistemi di operare sul lato della protezione dei dati...
non esiste altro metodo purtroppo....qualunque metodo basato su di un algoritmo definibile è ormai crackabile.....

con i metalinguaggi non serve ne' la forza bruta ne l'analisi dei sistemi....
.....devono conoscere la lingua.....e se qualcuno non gliela insegna......stanno freschi....
proteggere la propria privacy al giorno d'oggi è importante.....

[Mparlav]

Hanno "ricompilato" un password cracker usando le librerie CUDA.
Prima o poi doveva succedere.

Anche una società di Antivirus (Kaspersky credo), ha già sviluppato il codice per la scansione antivirus, usando una 2900XT.
Ne parlava The Inquirer qualche tempo fa'.