GPGPU e crittografia: una minaccia per la sicurezza?

[blackshard]

Quote:

Originariamente inviato da !fazz

guarda che l'uso dei caratteri speciali non ha influenza su un attacco bruteforce, serve per evitare un attacco dizionario.
e cmq la potenza delle gpu è troppo limitata per decodificare in bruteforce una cifratura con le belotas come ad esempio una aes da 512-1024bit non bastano neanche i cluster per quelle

L'uso di caratteri speciali, come ha spiegato anche l'articolo, amplia il charset e quindi aumenta il numero di possibili password derivabili.
Dal momento che l'attacco bruteforce calcola l'hash per ogni password, aumentare il numero di possibili password aumenta anche il tempo di calcolo.

Se uso una password di 8 caratteri con maiuscole, minuscole, cifre e caratteri speciali allora l'attaccante dovrà scandagliare fra 62^8 possibili password. Se tolgo le maiuscole e le cifre l'attaccante avrà la vita facilitata perchè il numero di possibili password scende a 21^8

Non ho capito tu cosa intendi per decodificare in bruteforce, perchè il bruteforce è appunto l'approccio più semplice ma più costoso, cioè appunto controllare tutte le password possibili in modo esaustivo.

L'approccio di cui si parla sopra per la rottura di md5 è invece un approccio molto più raffinato. Ho una password criptata con md5 di cui conosco l'hash (di solito è facilmente ottenibile dalle basi di dati), mi trovo una collisione che produce lo stesso hash in un minuto e così ho una password diversa, ma che vale uguale perchè produce lo stesso hash. Ed ecco fatto che md5 non serve più a niente.

[blackshard]

Quote:

Originariamente inviato da =Cipo2003=

Dual Pentium!!! 1000MHz 512MB DDR266

password: 7.9s
p4ssw0rd: 1'17.2s
p4ss-w0rd!: ha finito senza trovarla

Già, magari perchè per ridurre il numero di iterazioni non tiene in considerazione i caratteri speciali - e !

[!fazz]

Quote:

Originariamente inviato da blackshard

L'uso di caratteri speciali, come ha spiegato anche l'articolo, amplia il charset e quindi aumenta il numero di possibili password derivabili.
Dal momento che l'attacco bruteforce calcola l'hash per ogni password, aumentare il numero di possibili password aumenta anche il tempo di calcolo.

Se uso una password di 8 caratteri con maiuscole, minuscole, cifre e caratteri speciali allora l'attaccante dovrà scandagliare fra 62^8 possibili password. Se tolgo le maiuscole e le cifre l'attaccante avrà la vita facilitata perchè il numero di possibili password scende a 21^8

Non ho capito tu cosa intendi per decodificare in bruteforce, perchè il bruteforce è appunto l'approccio più semplice ma più costoso, cioè appunto controllare tutte le password possibili in modo esaustivo.

L'approccio di cui si parla sopra per la rottura di md5 è invece un approccio molto più raffinato. Ho una password criptata con md5 di cui conosco l'hash (di solito è facilmente ottenibile dalle basi di dati), mi trovo una collisione che produce lo stesso hash in un minuto e così ho una password diversa, ma che vale uguale perchè produce lo stesso hash. Ed ecco fatto che md5 non serve più a niente.

l'md5 sono anni che è stato bucato a causa del problema delle collisioni, infatti non è considerato un sistema sicuro

ps
intendevo che se devi fare un bruteforce di un file criptato in modo serio neanche le gpu ce la fanno in un tempo utile

[gabi.2437]

Beh MD5 non serve a niente se trovo la collisione in poco tempo, ma un MD-qualcosa che per la collisione richiede secoli sistema la cosa (ovvio, aumentando la potenza di calcolo...)

Comunque sul bruteforce e i caratteri speciali, dipende se l'attaccante sa o meno se sti caratteri speciali ci sono...

[WarDuck]

Piuttosto che password converrebbe usare passphrase, ovvero frasi che possono avere un senso compiuto, chiaramente sostituendo alcuni caratteri con numeri/simboli o altro...

Con le frasi si arriva facilmente a superare la 15ina di caratteri, e come noto la lunghezza delle password aumenta notevolmente la complessità del calcolo combinatorio.

[mjordan]

La password del mio router è di 62 caratteri

[blackshard]

Quote:

Originariamente inviato da !fazz

l'md5 sono anni che è stato bucato a causa del problema delle collisioni, infatti non è considerato un sistema sicuro

Però mi pare che qualcuno lo usi ancora forse.

Quote:

Originariamente inviato da !fazz

ps
intendevo che se devi fare un bruteforce di un file criptato in modo serio neanche le gpu ce la fanno in un tempo utile

Non saprei, non conosco i dettagli e i tempi di elaborazione degli algoritmi per il calcolo di una collisione, del resto non credo che avrebbe grande utilità sostituire un file buono con uno che contiene dati pseudocasuali

[blackshard]

Quote:

Originariamente inviato da mjordan

La password del mio router è di 62 caratteri

La password del mio è di 6 caratteri ed è bellamente esposto su internet su una porta che adesso mi sono anche dimenticato... E' il mio honey pot

[Atomix]

Quote:

Originariamente inviato da cionci

Per modificare la password dell'utente basta avere la password dell'amministratore...e se non abbiamo la password dell'amministratore ?

C'è questo tool che permette di resettare la password dell'amministratore, esiste ormai da una decina di anni: http://home.eunet.no/pnordahl/ntpasswd/
Potete anche mettere una password di 100 caratteri...questa verrà resettata comunque.

questo invece te la scova proprio le password (di tutti gli utenti, admin e non)
provato personalmente due volte

[cionci]

Quote:

Originariamente inviato da Atomix

questo invece te la scova proprio le password (di tutti gli utenti, admin e non)
provato personalmente due volte

Quale ?

[Atomix]

Quote:

Originariamente inviato da cionci

Quale ?

azz.. il link


http://www.loginrecovery.com/

[M4rk191]

non credo che il 3d si riferisca alle pass degli account di windows
si riferisce alla difficoltà delle password in generale e alla pericolosità di un attacco bruteforce che sfrutta GPGPU

[cionci]

Quote:

Originariamente inviato da Atomix

azz.. il link


http://www.loginrecovery.com/

Sì, non fanno altro che usare il tool che è stato usato nell'articolo. Non ha alcun senso pagare quando con la utility che avevo proposto si può resettare la password dell'admin ogni volta che si vuole

[mjordan]

Quote:

Originariamente inviato da M4rk191

non credo che il 3d si riferisca alle pass degli account di windows
si riferisce alla difficoltà delle password in generale e alla pericolosità di un attacco bruteforce che sfrutta GPGPU

L'avevamo capito eh.

[LukeHack]

Ophcrack, gran bel software
cmq bell'articolo, finalmente si parla di sicurezza....
altro che phishing

[Arguggi]

Ma al posto de "la buona vecchia accopiata di carta e matita" non sarebbe stato meglio consigliare dei programmi come Password Safe o Keepass? Basta ricordarsi una passphrase e non bisogna più segnarsi le password sui post-it per poi appiccicarseli sullo schermo XD

[L01CYL8]

Qualcuno mi può dare il suo parere sul livello di sicurezza di una RSA a 6 cifre con aggiornamento ogni 30 secondi. E' un buon sistema di cifratura oppurre anche il sistema a multipli di numeri primi (credo funzioni in questo modo) è facilmente sfondabile? Grazie!

[StateCity]

Basta temporizzare la password, come fanno tutti...
dopo 6 tentativi a vuoto si sospende x mezz'ora

inutile quindi il brutal force...

[Atomix]

Quote:

Originariamente inviato da cionci

Sì, non fanno altro che usare il tool che è stato usato nell'articolo. Non ha alcun senso pagare quando con la utility che avevo proposto si può resettare la password dell'admin ogni volta che si vuole

e chi ha mai pagato ? basta apettare 72 ore ed il servizio è gratis.
Il tool cui ti riferisci resetta la password, mentre quest'altro servizio te le scova, il che è molto diverso.. o mi sfugge qualcosa ?

[cionci]

Quote:

Originariamente inviato da Atomix

Il tool cui ti riferisci resetta la password, mentre quest'altro servizio te le scova, il che è molto diverso.. o mi sfugge qualcosa ?

E cosa c'è di diverso fra ottenere la password e resettare solo quella dell'admin ? A parte che nel secondo caso ci metti 5 minuti...