GPGPU e crittografia: una minaccia per la sicurezza?

[Atomix]

Quote:

Originariamente inviato da cionci

E cosa c'è di diverso fra ottenere la password e resettare solo quella dell'admin ? A parte che nel secondo caso ci metti 5 minuti...

cambia che, ad esempio, chi riutilizza il pc (colui che ha messo la passw.) non si accorge di niente (il tutto sempre se fatto nel rispetto delle leggi, ovviamente)
Sempre per esempio : potrebbe essere lecito il controllo da parte di un genitore sul pc che la scaltra figlia tredicenne usa beatamente su internet e sul quale (lei!) ha messo la passw. di amministratore ? Suppongo di si

[homero]

la potenza di calcolo che abbiamo a disposizione è di gran lunga inferiore a quella di cui dispongono i centri di ricerca pertanto possiamo tranquillamente scrivere che nessuna password è sicura e nessun sistema di crittazione è inviolabile. lo sono invece i sistemi di codifica non standard che si basano su processi stockastici come ce ne sono innumerevoli....

l'argomento è lungo e super studiato....la potenza bruta con i sistemi stockastici purtroppo ha poco da fare...

illudere il pubblico di avere a disposizione un sistema di violazione delle password acquistando o disponendo di una scheda video diultima generazione e quantomeno forviante anzi del tutto falso!

[Titanium555]

a parte la pass di windows che si puo sapere anche senza fare tutto questo giro, per eludere tutta questa potenza di calcolo basterebbe limitare i tantativi di accesso, così addio bruteforze.......

[blackshard]

Quote:

Originariamente inviato da Titanium555

a parte la pass di windows che si puo sapere anche senza fare tutto questo giro, per eludere tutta questa potenza di calcolo basterebbe limitare i tantativi di accesso, così addio bruteforze.......

Se l'hash è nascosto vale, ma se l'hash è disponibile il bruteforce è un'opzione più che valida.

[Mixmar]

Quote:

Originariamente inviato da homero

la potenza di calcolo che abbiamo a disposizione è di gran lunga inferiore a quella di cui dispongono i centri di ricerca pertanto possiamo tranquillamente scrivere che nessuna password è sicura e nessun sistema di crittazione è inviolabile. lo sono invece i sistemi di codifica non standard che si basano su processi stockastici come ce ne sono innumerevoli....

l'argomento è lungo e super studiato....la potenza bruta con i sistemi stockastici purtroppo ha poco da fare...

illudere il pubblico di avere a disposizione un sistema di violazione delle password acquistando o disponendo di una scheda video diultima generazione e quantomeno forviante anzi del tutto falso!

Scusa la pignoleria, ma se conosci i processi stocastici saprai anche come si scrive "stocastico"...

[checo]

qualcuno mi dice che parametri ha dato al sw per fare il test?
perchè a me
1° l'hash md5 di p4sw0rd viene diverso da quello delle immagini
2° mi fa crashare le vga.

col comando trovato sul sito ovvero questo invece funzionano tutti e due i core e le gpu

BarsWF_SSE2_x64.exe -h 21685d282d79098b89bdf5a916b66c90 -X "030405313233" -min_len 12

[daedin89]

simpaticamente io non ci ho capito nulla...in pratica questo discorso a quali password fa riferimento? sono comprese x dire quelle delle caselle email? oppure dei file zippati messi sotto password? onestamente non ho capito mi ci vorrebbe un carinissimo skemino grafico...magari non criptato
ciau!

[MiKeLezZ]

Bell'articolo, sebbene mi fossi già preparato con la tazza di camomilla... e poi l'ho letto in 5 minuti.

Comunque il tool di Microsoft per il controllo password è una baggianata pazzesca

In pratica fa solo 4 controlli:
a) lunghezza minima 8 caratteri
b) utilizzo di almeno 1 maiuscola/numero
c) utilizzo di almeno 1 carattere speciale
d) lunghezza minima di 14 caratteri

Che poi sono le richieste per l'account Administrator di Windows Server

------

In mio parere il miglior connubio per semplicità/sicurezza è l'utilizzo di una passphrase con in aggiunga un carattere speciale

Un esempio potrebbe essere "cantami,odiva,delpelide", ma anche stronzate come "oggi$è$una$bella$serata"

Che fra l'altro, per quanto lunghe, essendo frasi di senso compiuto, sono in realtà molto, molto veloci da scrivere (sicuramente più di una "hu\iyhHIf2H&hd"i7h9", e non credete forniscano tanta meno sicurezza )

Non ho capito invece perchè gli anagrammi sarebbero una falla di sicurezza

Quote:

Originariamente inviato da StateCity

Basta temporizzare la password, come fanno tutti...
dopo 6 tentativi a vuoto si sospende x mezz'ora

inutile quindi il brutal force...

E' una ottima contromisura, ma non sempre è possibile una implementazione di questo tipo (e non sempre basta, come abbiamo visto con i vari tool per Windows per il reset o il recupero).

Quote:

Originariamente inviato da mjordan

La password del mio router è di 62 caratteri

La mia di 63.
Già che siamo in tema, un tool carino (che dovrebbe conoscere anche lo zio di mio nonno... ma non si sa mai):
https://www.grc.com/passwords.htm

Quote:

Originariamente inviato da blackshard

L'uso di caratteri speciali, come ha spiegato anche l'articolo, amplia il charset e quindi aumenta il numero di possibili password derivabili.
Dal momento che l'attacco bruteforce calcola l'hash per ogni password, aumentare il numero di possibili password aumenta anche il tempo di calcolo.

Se uso una password di 8 caratteri con maiuscole, minuscole, cifre e caratteri speciali allora l'attaccante dovrà scandagliare fra 62^8 possibili password. Se tolgo le maiuscole e le cifre l'attaccante avrà la vita facilitata perchè il numero di possibili password scende a 21^8

Non ho capito tu cosa intendi per decodificare in bruteforce, perchè il bruteforce è appunto l'approccio più semplice ma più costoso, cioè appunto controllare tutte le password possibili in modo esaustivo.

L'approccio di cui si parla sopra per la rottura di md5 è invece un approccio molto più raffinato. Ho una password criptata con md5 di cui conosco l'hash (di solito è facilmente ottenibile dalle basi di dati), mi trovo una collisione che produce lo stesso hash in un minuto e così ho una password diversa, ma che vale uguale perchè produce lo stesso hash. Ed ecco fatto che md5 non serve più a niente.

E' anche vero che in un bruteforce devi deciderlo a priori se vuoi fare un tentativo senza i numeri, senza i caratteri speciali, senza le maiuscole...
Ovvero alla fine potresti macinare addirittura di più, se per esempio con il set base non trova nulla, poi fai base+numeri e ancora non trova nulla, poi fai base+numeri+maiuscole, e ancora nulla...

Quote:

Originariamente inviato da kralin

e cosa sarebbe la "sintassi proteica"?
forse si voleva scrivere sintesi proteica? ma cmq non è quello che fa il folding@home...

Per me quelli di Folding (o simili) potrebbero pure stare in realtà usando i nostri PC come degli zombie per craccare archivi segreti iraniani... io i miei W non glieli regalo

[pierpox]

Ho provato a fare anch'io il test BarsWF sul mio pc (q9550+GTX280 su una P5Q deluxe no overclock) con i seguenti risultati:GPU*:728.81 MHash/sec CPU*:207.46 MHash/sec, Avg.Total: 934.69 MHash/sec.Considerando le schermate postate nell'articolo,la piattaforma i7 non sembra apportare nessun vantaggio con questo algoritmo,sono rimasto un pò deluso!

[!fazz]

Quote:

Originariamente inviato da pierpox

Ho provato a fare anch'io il test BarsWF sul mio pc (q9550+GTX280 su una P5Q deluxe no overclock) con i seguenti risultati:GPU*:728.81 MHash/sec CPU*:207.46 MHash/sec, Avg.Total: 934.69 MHash/sec.Considerando le schermate postate nell'articolo,la piattaforma i7 non sembra apportare nessun vantaggio con questo algoritmo,sono rimasto un pò deluso!

hai comunque un quad di buon livello e il vantaggio maggiore di i7, l'hyperthread non serve quando hai bisogno di pura potenza di calcolo anzi,il continuo switch dei thread provoca un consistente overhead che ne abbassa le prestazioni.

questo è indicativo di come probabilmente funzionerà il programma, il programma all'inizio controlla quanti core sono presenti e attiva un numero uguale di thread, i7 facendo credere di avere 8 core ma in realtà avendo solo 4 unità di eleborazione è svantaggiato, sarebbe interessante un confronto con l'i7 ma con ht disattivato

[binoone]

Si potrebbe anche decriptare le key delle tv a pagamento.

16 caratteri in esadecimale

[huema]

"le GPU, nel corso degli ultimi anni sono arrivate a raddoppiare le performance in soli sei mesi. "

poi arrivò l'era delle rinominate...

quotone per mikelez: pigliate il vostro libro preferito, aprite a pg. 30 e la prima riga sarà la vostra password (+- siam sui 50-70 caratteri)

[sniperspa]

Io mi divertivo a trovare la pass dell'amministratore locale nei laboratori a scuola

Bastava copiarsi,usando qualche programmino in dos all'avvio, i files SAM e SYSTEM e poi darci dentro a casa con saminside...almeno poi potevo installarmi tutti i programmi che volevo

Ma questo ophcrack sfrutta la GPU?e necessita di privilegi???

[Darkbit]

provato il barswf brook x64 e mi da errore non trova "amdcalcl64.dll" mentre il folding rulla come non mai, ma per far eseguire i calcoli alla gpu dovrebbe utilizzare la libreria "aticalcl64.dll", nella cartella system32 ho questo file e non "amd....dll"
con la cpu (e8400 no oc)ho provato, veramente lento. 20 minuit per decriptare la pass "pass".
Qualcuno può aiutarmi?Sono curioso di vedere la potenza d calcolo della mia 4870, con l'avivo converter sono rimasto un pò deluso...

edit:Ati per semplificare le cose ha cambiato nome ai file.
è sufficiente creare delle copie con nome voluto da barswf "amd.....dll" e tutto funziona alla perfezione

[pierpox]

Quote:

Originariamente inviato da !fazz

hai comunque un quad di buon livello e il vantaggio maggiore di i7, l'hyperthread non serve quando hai bisogno di pura potenza di calcolo anzi,il continuo switch dei thread provoca un consistente overhead che ne abbassa le prestazioni.

questo è indicativo di come probabilmente funzionerà il programma, il programma all'inizio controlla quanti core sono presenti e attiva un numero uguale di thread, i7 facendo credere di avere 8 core ma in realtà avendo solo 4 unità di eleborazione è svantaggiato, sarebbe interessante un confronto con l'i7 ma con ht disattivato

...concordo pienamente con quello che dici !fazz,ho l'impressione che l'hyperthreading,con algoritmi che scalano "realmente" con il numero dei core presenti,non sia assolutamente efficace (non è la prima volta che facendo test mi trovo a fare la stessa considerazione).Cosa curiosa è pure il fatto di avere un valore maggiore lato gpu ,gtx 280 contro gtx 285,in realtà qui siamo davanti alla medesima architettura...

[gianluca.f]

non riesco a capire, se ho l'hash della password e creo la collisione ottengo un altra password
che utilità ne ho? non ho capito...

[Darkbit]

barsWF_brook_x64.exe
ati hd4870 850*900 MHash/s massimo 1156
intel e8400 3.00 GHz MHash/s massimo 51
che differenza...

[ARARARARARARA]

Quando si parla di sicurezza la mente corre subito a parole come Antivirus, Firewall e phishing, tutte tematiche nate o tornate in vita grazie alla diffusione su larga scala di internet, vero e oramai quasi unico canale di diffusione: terminata l'era delle infezioni virus via floppy disk, la rete si è fatta principale veicolo di distribuzione di questi e altri tipi di minacce verso gli utenti.

Ma quanto era che non leggevo più floppy? Pazzesco a ripensarci mi vengono i brividi quanto li ho odiati i floppy? Che bello si salvavano i file sul floppyno poi si andava a casa si inseriva e dopo 10 ore e mezza che provava ad aprirlo diceca: errore di ridondanza ciclico oppure disco non formattato formattare ora? ah bei tempi... Che schifo io li ho sempre aborriti ho preso il mio primo pc serio nel 2000 e tempo 3 mesi ho comprato il costoso masterizzatore cd pur di non avere niente a che fare con i floppy, sono felicemente libero da floppy dal 2001

[cionci]

Quote:

Originariamente inviato da gianluca.f

non riesco a capire, se ho l'hash della password e creo la collisione ottengo un altra password
che utilità ne ho? non ho capito...

Hai l'utilità che se immetti anche quest'altro testo che collide il controllo sull'hash ha successo, hai quindi passato il controllo di sicurezza.

[LukeHack]

Quote:

Originariamente inviato da ARARARARARARA

Quando si parla di sicurezza la mente corre subito a parole come Antivirus, Firewall e phishing, tutte tematiche nate o tornate in vita grazie alla diffusione su larga scala di internet, vero e oramai quasi unico canale di diffusione: terminata l'era delle infezioni virus via floppy disk, la rete si è fatta principale veicolo di distribuzione di questi e altri tipi di minacce verso gli utenti.

Ma quanto era che non leggevo più floppy? Pazzesco a ripensarci mi vengono i brividi quanto li ho odiati i floppy? Che bello si salvavano i file sul floppyno poi si andava a casa si inseriva e dopo 10 ore e mezza che provava ad aprirlo diceca: errore di ridondanza ciclico oppure disco non formattato formattare ora? ah bei tempi... Che schifo io li ho sempre aborriti ho preso il mio primo pc serio nel 2000 e tempo 3 mesi ho comprato il costoso masterizzatore cd pur di non avere niente a che fare con i floppy, sono felicemente libero da floppy dal 2001

uomo eretico
per quanto mi riguarda il floppy è necessario ed è spesso un salvaculo che non immaginieresti quante volte mi si è smerdato l'mbr ed ho fatto partire il kernel di linux per rimettere a posto grub..
oppure ho aggiornato il bios del mostro che ho in firma (si ha il floppy e l'ho richiesto ).. senza il floppy drive sarebbero stati dolori ...

lunga vita al floppy disk (ps. i verbatim data life non mi sono mai morti anche i tdk erano ottimi)