HWupgrade autenticazione in chiaro

[s0nnyd3marco]

Volevo chiedere come mai l'autenticazione sul forum di HWupgrade e' completamente in chiaro. Ho provato con wireshark e senza problemi si trovano la password e uid di un utente. Come mai non c'e' https?

[Drunke]

Così facile trovare i dati di autenticazione di un utente?

[s0nnyd3marco]

Quote:

Originariamente inviato da Drunke

Così facile trovare i dati di autenticazione di un utente?

Ho appena rifatto il test con Opera su una Debian Lenny.
Questi valori li trovi nel payload del http post:
vb_login_username=miousername&vb_login_password=miapassword&s=&do=login&vb_login_md5password=&vb_login_md5password_utf=

Capisco che il forum ha esigenze diverse da un sito di homebanking, ma la sicurezza non è mai troppa.

[s0nnyd3marco]

Su firefox e chrome ho visto che la password non è inviata in chiaro, ma al suo posto un md5hash.

Lo stesso di prima ma con firefox
vb_login_username=miousername&vb_login_password=&s=&do=login&vb_login_md5password=md5hashmiapassword&vb_login_md5password_utf=md5hashmiapassword

Il che equivale (quasi) a mandarla in chiaro.

[Drunke]

Uso firefox, mi devo preoccupare? Ho una certa reputazione qui sul forum per quanto riguarda il mercatino, non vorrei mi rubassero l'account. Attualmente uso una password da 83Bits quindi abbastanza lunga

[s0nnyd3marco]

Quote:

Originariamente inviato da Drunke

Uso firefox, mi devo preoccupare? Ho una certa reputazione qui sul forum per quanto riguarda il mercatino, non vorrei mi rubassero l'account. Attualmente uso una password da 83Bits quindi abbastanza lunga

Sarebbe da capire se il browser appende un qualche timestamp al md5 della password o se è solo un md5. Se ci appende un time stamp è più complicato.
Cmq MD5 non è un algoritmo sicuro. Il fatto è che mi aspettavo che nella fase di autenticazione si utilizzi un https (persino una cosa inutile come FaceBook c'è l'ha).
Tieni presente che per intercettare il traffico di qualcuno o devi essere nel suo stesso collision domain (vedi reti wireless o reti cablate con hub) oppure compromettere la cam di uno switch.

PS: 83bits? qualcosa nn mi torna...

[Drunke]

Quote:

Originariamente inviato da s0nnyd3marco

Sarebbe da capire se il browser appende un qualche timestamp al md5 della password o se è solo un md5. Se ci appende un time stamp è più complicato.
Cmq MD5 non è un algoritmo sicuro. Il fatto è che mi aspettavo che nella fase di autenticazione si utilizzi un https (persino una cosa inutile come FaceBook c'è l'ha).
Tieni presente che per intercettare il traffico di qualcuno o devi essere nel suo stesso collision domain (vedi reti wireless o reti cablate con hub) oppure compromettere la cam di uno switch.

PS: 83bits? qualcosa nn mi torna...

Si come grado di sicurezza è 83 Bits, uso un programma per questo

[s0nnyd3marco]

Quote:

Originariamente inviato da Drunke

Si come grado di sicurezza è 83 Bits, uso un programma per questo

Ovvero? un programmino che genera password e che da un grado di sicurezza?

[Drunke]

Si esatto

[Energy++]

Quote:

Originariamente inviato da Drunke

Si come grado di sicurezza è 83 Bits, uso un programma per questo

83bit? E' composta da 10,4 caratteri alfanumerici ? Qualcosa non torna neanche a me

[Drunke]

Quote:

Originariamente inviato da Energy++

83bit? E' composta da 10,4 caratteri alfanumerici ? Qualcosa non torna neanche a me

16 caratteri per l'esattezza

[xcdegasp]

Quote:

Originariamente inviato da Drunke

16 caratteri per l'esattezza

e come fa' ad avere solo 83bit? magari è senza caratteri speciali e maiuscole e lettere accentate?

[Drunke]

Quote:

Originariamente inviato da xcdegasp

e come fa' ad avere solo 83bit? magari è senza caratteri speciali e maiuscole e lettere accentate?

Solo lettere è numeri comprese le maiuscole

[Energy++]

Quote:

Originariamente inviato da Drunke

16 caratteri per l'esattezza

Quote:

Originariamente inviato da Drunke

Solo lettere è numeri comprese le maiuscole

1 carattere = 1 byte
1 byte = 8 bit

16 caratteri = 16 byte = 16*8 bit = 128bit

quindi il tuo discorso non torna

[xcdegasp]

Quote:

Originariamente inviato da Drunke

Solo lettere è numeri comprese le maiuscole

troppo debole anche per il fatto che non usa parole a senso compiuto quindi con il bruteforce si disabilita direttamente il dizionario per farlo eseguire in maniera random e si disabilitano i caratteri speciali..

meglio crearsi una password da ricordarsi facilmente, composta da più parole slegate tra loro, con la presenza di caratteri speciali (importantissimi) e letetre accentate, oltre che una buon uso di maiuscole e numeri (numeri massimo 4)
questo imho

[Drunke]

la password qui sul forum di quanti caratteri o numeri si può impostare?
A parte tutto, questo non centra con il discorso della sicurezza di HUF o sbaglio?

[riazzituoi]

.

[Energy++]

Quote:

Originariamente inviato da riazzituoi

In teoria sì, ma generalmente i caratteri ASCII utilizzabili sono minori o uguali a 95 (dipende anche dall'applicazione), quindi l'entropia, cioè l'informazione, si riduce a 6.5 bit per carattere.

secondo me quello che hai scritto non ha senso.

Cioè lui parlava di una password di 83bit quindi si presume che parlasse della lunghezza della password.

Potrei aver frainteso io, spiegati meglio

[Drunke]

Intendo dire che la mia password è come grado di sicurezza 83Bit, non come lunghezza della stessa.

[riazzituoi]

.