![[RSS]](https://tweakers.net/g/if/v2/icons/rss_small.png){kind=icon}
Digibewusteloos
Zoals wel vaker luisterde ik ergens in de afgelopen week naar de radio. Normaal hoor ik het wel, maar luister ik niet echt. Dit keer schrok ik echter wakker uit mijn gebruikelijke stasis, doordat mijn onderbewustzijn triggerde op de woorden "Voer nu je wachtwoord in op digibewust.nl, en kijk hoe veilig jouw wachtwoord is!".
Geprikkeld en vol anticipatie volgde ik het commando op, en surfte naar http://www.digibewust.nl/. Ik klik op de grote groene knop "Test nu je wachtwoord", en terwijl ik denk "Je zal toch niet echt je wachtwoord..", zit ik op een website waar "Mooiboy, peter, en tijgertje" me streng aankijken. Ook staat er een tekstje waarin mij wordt medegedeeld dat ik moet zorgen voor een "sterk wachtwoord", want dat is "niet te raden en moeilijk te kraken". Verder staan er nog wat hippe schuifbalkjes en klikvakjes om aan te geven waar jouw wachtwoord uit bestaat, en onderaan komt het keiharde doch rechtvaardige oordeel over de veiligheid van jouw wachtwoord. Simpel toch? Om de één of andere reden kreeg ik opeens de onweerstaanbare drang om Ubuntu weer eens een slinger te geven, gewoon, om te kijken of het klopt. Dus, ik download de gelekte database van LinkedIn, en ga aan de slag.
De tools
Beter bekend bij de mensen thuis als "brute force". Gewoon elke positie karaktjertje voor karaktertje wijzigen, tot er iets nuttigs uit komt. Voor de mensen die nu iets hebben van "OMGWTFBBQ, welk commando dan?", et voilà:
Maar, terug naar het doel van deze hele onderneming, wat zeggen onze nieuwe vrienden hiervan? Nou, dit:
Vreemd.. Volgens die uitkomt zou ik er in m'n eentje een aantal millennia over doen om een wachtwoord te achterhalen, terwijl ik na 15 minuten al op een high-score van 44 zit. Oké, granted, dat hangt enorm af van het gebruikte versleutelingsalgoritme, en het al dan niet gebruiken van salt, en waarschijnlijk gaan de vriendjes ook uit van de tijd die nodig is om *alle* combinaties te achterhalen. Desalnietteminplusgedeelddoorkeeretc, vind ik dat een nogal gedurfde claim om te maken.
Nou, wat zeur je dan, 44 uit een lijst van een paar miljoen is onwijs weinig
Ah, ja. Maar we zijn nog niet klaar! We hebben ook nog de woordenlijsten. Dus ik heb via "bedrijfdeliefdemettimkuik.org" een paar woordenlijsten [url="magnet:?xt=urn:btih:6c89df058f71559dec6c5c7c9f2cb419182b3294&dn=Collection+of+Wordlist+%28Dictionaries%29+for+cracking+WiFi+WPA%2FWPA2&tr=udp%3A%2F%2Ftracker.openbittorrent.com%3A80&tr=udp%3A%2F%2Ftracker.publicbt.com%3A80&tr=udp%3A%2F%2Ftracker.istole.it%3A6969&tr=udp%3A%2F%2Ftracker.ccc.de%3A80"]gedownload[/url], en gebruikt met het volgende commando:
De slimme kijker merkt op dat er hier een paar dingen anders zijn dan het vorige commando:
1052 entries! Dat is al heel wat meer dan 44. Nu zal ik de kostbare tweakblog ruimte niet verspillen met de hele lijst, maar wat stats zijn altijd wel grappig. Gemaakt met het o zo handige programma pipal:
Oke. Cool. Maar wat nu als er op mijn woordenlijst "welkom" staat, maar het te kraken wachtwoord is "Welkom01"?
Vrees niet! Ook daar is aan gedacht. oclHashcat heeft ook een feature genaamd "rules". Dit zijn bestandjes met regels welke worden toegepast op de woordenlijst om de bestanden te veranderen. Zo wordt "welkom" dus ook "Welkom" "WELKOM" "WeLkOm" en "Welkom01". Added bonus, veel regels zitten standaard bij oclHashcat!
Dus, nog maar een commandotje er tegenaan gooien:
De oplettende kijker van net heeft ook nu weer gezien dat er wéér een extra optie wordt meegegeven, namelijk " -r /tools/oclHashcat-plus-0.09/rules/best64.rule". Dit is één van de (vele) rule bestanden standaard meegeleverd met oclHashcat.
And the final score is: ..
7497! Dat is al heel wat meer Bert! Ja Ernie, maar heb je ook weer statjes? Jahoor, Bert:
Maar, wat is je punt dan precies?
Nou, ja, mijn punt is dus dat het een leuke campagne is, maar niet heel erg waarheidsgetrouw, om het politiek correct af te drukken. Als "eindgebruiker" zou ik na de site te hebben bekeken denken dat mijn wachtwoord "Welkom123!@#" onwijs veilig is, terwijl niets minder waar is. Een gevalletje "False sense of security", om er maar eens wat buzz-words tegenaan te ketsen.
Begrijp me niet verkeerd, ik ben allang blij dat er überhaupt aandacht aan besteed wordt aan dit soort dingen, maar het lijkt erop dat de mensen achter deze site puur en alleen uit gaan van een scenario waarbij woordenlijsten niet bestaan, en alle websites de databases netjes hashen en salten. Het tegendeel is helaas al te vaak bewezen de afgelopen tijd.
Dus..
Dus zorg boven alles gewoon voor een *lang* wachtwoord. En dan bedoel ik, 15, 20 tekens of meer. Zorg ook vooral dat het wachtwoord niet één enkel woord is, met wat tekens en cijfers er omheen geplakt, maar mix het wat door elkaar. Of, pak gewoon iets als keepass, en gebruik overal een gegenereerd, lang, random wachtwoord. Al moet je dan natuurlijk niet "Letmein" gebruiken als keepass wachtwoord
.
ps. ik haat mensen die beginnen met de tekst: "Dit is mijn eerste blog, dus go easy on me", vandaar dat ik het hier neer zet. Dit is mijn eerste blog, dus go easy on me
Geprikkeld en vol anticipatie volgde ik het commando op, en surfte naar http://www.digibewust.nl/. Ik klik op de grote groene knop "Test nu je wachtwoord", en terwijl ik denk "Je zal toch niet echt je wachtwoord..", zit ik op een website waar "Mooiboy, peter, en tijgertje" me streng aankijken. Ook staat er een tekstje waarin mij wordt medegedeeld dat ik moet zorgen voor een "sterk wachtwoord", want dat is "niet te raden en moeilijk te kraken". Verder staan er nog wat hippe schuifbalkjes en klikvakjes om aan te geven waar jouw wachtwoord uit bestaat, en onderaan komt het keiharde doch rechtvaardige oordeel over de veiligheid van jouw wachtwoord. Simpel toch? Om de één of andere reden kreeg ik opeens de onweerstaanbare drang om Ubuntu weer eens een slinger te geven, gewoon, om te kijken of het klopt. Dus, ik download de gelekte database van LinkedIn, en ga aan de slag.
De tools
- i7 3770
- 8GB Ram
- 2x AMD HD5850 in Crossfire
- oclHashcat-plus
Beter bekend bij de mensen thuis als "brute force". Gewoon elke positie karaktjertje voor karaktertje wijzigen, tot er iets nuttigs uit komt. Voor de mensen die nu iets hebben van "OMGWTFBBQ, welk commando dan?", et voilà:
/tools/oclHashcat-plus-0.09/oclHashcat-plus64.bin -m 100 -n 160 -a 3 --gpu-temp-retain=80 --gpu-temp-abort=100 ./leakedIn.txt -o ./leakedIn.bf ?a?a?a?a?a?a?a?a?a?a?a
- /tools/oclHashcat-plus-0.09/oclHashcat-plus64.bin - Het programma zelf
- -m 100 - Het type hash dat gekraakt moet worden. 100 staat voor "SHA1".
- -n 160 - Moar pwr captain! De workload voor de GPU's.
- -a 3 - Attack type, 3 staat voor "Brute Force"
- --gpu-temp-retain=80 --gpu-temp-abort=100 - Om te zorgen dat de arme 5850's geen *poef* doen.
- ./leakedIn.txt - Input file met de hashes
- -o leakedIn.bf - De resultaten van de aanval
- ?a?a?a?a?a?a?a?a?a?a?a - Een brute force aanval van 11 karakters ("?a" staat voor 1 positie), met op elke positie uppercase, lowercase, number en special characters. Dit is uiteraard ook te tweaken. Bijvoorbeeld ?l voor alleen lowercase, ?u voor uppercase en zo verder.
Maar, terug naar het doel van deze hele onderneming, wat zeggen onze nieuwe vrienden hiervan? Nou, dit:
Vreemd.. Volgens die uitkomt zou ik er in m'n eentje een aantal millennia over doen om een wachtwoord te achterhalen, terwijl ik na 15 minuten al op een high-score van 44 zit. Oké, granted, dat hangt enorm af van het gebruikte versleutelingsalgoritme, en het al dan niet gebruiken van salt, en waarschijnlijk gaan de vriendjes ook uit van de tijd die nodig is om *alle* combinaties te achterhalen. Desalnietteminplusgedeelddoorkeeretc, vind ik dat een nogal gedurfde claim om te maken.
Nou, wat zeur je dan, 44 uit een lijst van een paar miljoen is onwijs weinig
Ah, ja. Maar we zijn nog niet klaar! We hebben ook nog de woordenlijsten. Dus ik heb via "bedrijfdeliefdemettimkuik.org" een paar woordenlijsten [url="magnet:?xt=urn:btih:6c89df058f71559dec6c5c7c9f2cb419182b3294&dn=Collection+of+Wordlist+%28Dictionaries%29+for+cracking+WiFi+WPA%2FWPA2&tr=udp%3A%2F%2Ftracker.openbittorrent.com%3A80&tr=udp%3A%2F%2Ftracker.publicbt.com%3A80&tr=udp%3A%2F%2Ftracker.istole.it%3A6969&tr=udp%3A%2F%2Ftracker.ccc.de%3A80"]gedownload[/url], en gebruikt met het volgende commando:
/tools/oclHashcat-plus-0.09/oclHashcat-plus64.bin -m 100 -n 160 -a 0 --gpu-temp-retain=90 --gpu-temp-abort=100 ./leakedIn.txt /tools/lists/wordlist.txt -o ./leakedIn.wordlist.txt
De slimme kijker merkt op dat er hier een paar dingen anders zijn dan het vorige commando:
- -a 3 is vervangen door -a 0, om de aanvalsmethode op "Straight" (Lees: woordenlijst) te zetten.
- /tools/lists/wordlist.tx is toegevoegd om het programma te vertellen welk lijstje hij mag gebruiken.
1052 entries! Dat is al heel wat meer dan 44. Nu zal ik de kostbare tweakblog ruimte niet verspillen met de hele lijst, maar wat stats zijn altijd wel grappig. Gemaakt met het o zo handige programma pipal:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
| Password length (length ordered) 6 = 2 (0.19%) 7 = 54 (5.13%) 8 = 142 (13.5%) 9 = 236 (22.43%) 10 = 244 (23.19%) 11 = 170 (16.16%) 12 = 112 (10.65%) 13 = 45 (4.28%) 14 = 32 (3.04%) 15 = 15 (1.43%) One to six characters = 2 (0.19%) One to eight characters = 198 (18.82%) More than eight characters = 854 (81.18%) Character sets loweralpha: 627 (59.6%) mixedalpha: 266 (25.29%) loweralphaspecial: 8 (0.76%) mixedalphaspecial: 3 (0.29%) |
Oke. Cool. Maar wat nu als er op mijn woordenlijst "welkom" staat, maar het te kraken wachtwoord is "Welkom01"?
Vrees niet! Ook daar is aan gedacht. oclHashcat heeft ook een feature genaamd "rules". Dit zijn bestandjes met regels welke worden toegepast op de woordenlijst om de bestanden te veranderen. Zo wordt "welkom" dus ook "Welkom" "WELKOM" "WeLkOm" en "Welkom01". Added bonus, veel regels zitten standaard bij oclHashcat!
Dus, nog maar een commandotje er tegenaan gooien:
/tools/oclHashcat-plus-0.09/oclHashcat-plus64.bin -m 100 -n 160 -a 0 --gpu-temp-retain=90 --gpu-temp-abort=100 ./leakedIn.txt /tools/lists/wordlist.txt -o ./leakedIn.wordlist.best64.txt -r /tools/oclHashcat-plus-0.09/rules/best64.rule
De oplettende kijker van net heeft ook nu weer gezien dat er wéér een extra optie wordt meegegeven, namelijk " -r /tools/oclHashcat-plus-0.09/rules/best64.rule". Dit is één van de (vele) rule bestanden standaard meegeleverd met oclHashcat.
And the final score is: ..
7497! Dat is al heel wat meer Bert! Ja Ernie, maar heb je ook weer statjes? Jahoor, Bert:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
| 6 = 271 (3.61%) 7 = 503 (6.71%) 8 = 2522 (33.64%) 9 = 1468 (19.58%) 10 = 1426 (19.02%) 11 = 609 (8.12%) 12 = 432 (5.76%) 13 = 132 (1.76%) 14 = 101 (1.35%) 15 = 33 (0.44%) One to six characters = 271 (3.61%) One to eight characters = 3296 (43.96%) More than eight characters = 4201 (56.04%) loweralpha: 3174 (42.34%) mixedalphanum: 1713 (22.85%) loweralphanum: 1287 (17.17%) mixedalpha: 772 (10.3%) upperalpha: 160 (2.13%) loweralphaspecial: 25 (0.33%) loweralphaspecialnum: 22 (0.29%) mixedalphaspecialnum: 22 (0.29%) mixedalphaspecial: 11 (0.15%) specialnum: 1 (0.01%) |
Maar, wat is je punt dan precies?
Nou, ja, mijn punt is dus dat het een leuke campagne is, maar niet heel erg waarheidsgetrouw, om het politiek correct af te drukken. Als "eindgebruiker" zou ik na de site te hebben bekeken denken dat mijn wachtwoord "Welkom123!@#" onwijs veilig is, terwijl niets minder waar is. Een gevalletje "False sense of security", om er maar eens wat buzz-words tegenaan te ketsen.
Begrijp me niet verkeerd, ik ben allang blij dat er überhaupt aandacht aan besteed wordt aan dit soort dingen, maar het lijkt erop dat de mensen achter deze site puur en alleen uit gaan van een scenario waarbij woordenlijsten niet bestaan, en alle websites de databases netjes hashen en salten. Het tegendeel is helaas al te vaak bewezen de afgelopen tijd.
Dus..
Dus zorg boven alles gewoon voor een *lang* wachtwoord. En dan bedoel ik, 15, 20 tekens of meer. Zorg ook vooral dat het wachtwoord niet één enkel woord is, met wat tekens en cijfers er omheen geplakt, maar mix het wat door elkaar. Of, pak gewoon iets als keepass, en gebruik overal een gegenereerd, lang, random wachtwoord. Al moet je dan natuurlijk niet "Letmein" gebruiken als keepass wachtwoord
.ps. ik haat mensen die beginnen met de tekst: "Dit is mijn eerste blog, dus go easy on me", vandaar dat ik het hier neer zet. Dit is mijn eerste blog, dus go easy on me
12-'12 Wifileaks
Reacties
Door
pinna_be,
maandag 3 december 2012 22:32
ik ben werkelijk gefascineerd, een van de betere blogs die ik heb gelezen: duidelijk, niet te ingewikkeld maar toch niet over een soft thema.
Heb genoten van deze blog te lezen en dit is de eerste blog die ik tweet. (niet dat mijn twitteraccount zo wauw is, maar toch)
meer van dit soort blogs!
Heb genoten van deze blog te lezen en dit is de eerste blog die ik tweet. (niet dat mijn twitteraccount zo wauw is, maar toch)
meer van dit soort blogs!
Door
MuddyMagical,
maandag 3 december 2012 22:51
Nette eerste blog! Interessant om te lezen.
* MuddyMagical doet bookmarked!
* MuddyMagical doet bookmarked!
Door
Gropah,
maandag 3 december 2012 22:56
Zeker intressant en leuk om te lezen. Meer?
Door
Gish,
maandag 3 december 2012 23:04
Mooaarrr! Interessant, prettig om te lezen en een leuk onderwerp.
Ik stel voor dat je in je volgende blog een wachtwoordchecktoolding publiceert die wél correct weergeeft of je wachtwoord oké is of niet 
Ik stel voor dat je in je volgende blog een wachtwoordchecktoolding publiceert die wél correct weergeeft of je wachtwoord oké is of niet
Door
pinna_be,
maandag 3 december 2012 23:22
tool misschien die webontwikkelaars kunnen aansprek. wachtwoordbeveiligingsgraad: x op de schaal van Slurpgeit.Gish schreef op maandag 03 december 2012 @ 23:04:
Mooaarrr! Interessant, prettig om te lezen en een leuk onderwerp.
Ik stel voor dat je in je volgende blog een wachtwoordchecktoolding publiceert die wél correct weergeeft of je wachtwoord oké is of niet
Door
SanderL,
maandag 3 december 2012 23:22
Met plezier gelezen! Vooral omdat ik af en toe wat leuke woordspelingen en dergelijke tegenkwam
Door
Slurpgeit,
maandag 3 december 2012 23:34
Hehe, thanks allemaal. Zal eens kijken of er nog een verhaaltje uit te persen valt
Door
Zerfox,
maandag 3 december 2012 23:42
Nice verhaal, je hebt me enthousiast om ook wat testjes uit te voeren! 
Door
painkill,
dinsdag 4 december 2012 02:26
Is het niet dom om je wachtwoord te gaan te testen op een site?
Een groot percentage mensen is uniek door de browser/plugin combinatie, dus alleen op die manier zijn er al veel wachtwoorden te achterhalen. Maar misschien denk ik ook weer te ver
Een groot percentage mensen is uniek door de browser/plugin combinatie, dus alleen op die manier zijn er al veel wachtwoorden te achterhalen. Maar misschien denk ik ook weer te ver
Door
boomr,
dinsdag 4 december 2012 08:28
Gvd...dus mijn wachtwoord: stoel123 is niet veilig? DAMNIT
Door
i-chat,
dinsdag 4 december 2012 09:13
2step auth anyone... ? nu nog een provider die ik vertrouw. je eigen oauth service is leuk maar als iedereen dat doet is er als nog geen sprake van security, dus bedrijven instellingen en sites die ongevalideerde oauth en dat soort gein accepteren neem je bij voorkeur ook niet serieus...
google neem ik dan wel wat serieuzer maar alleen in gevallen van NIET-privacygevoelige gegevens anders : volgende -> maar welke
google neem ik dan wel wat serieuzer maar alleen in gevallen van NIET-privacygevoelige gegevens anders : volgende -> maar welke
Door
Infant,
dinsdag 4 december 2012 09:26
Hoe krokant wordt zo'n radeontje dat die optie er in zit?
Ik word altijd heel erg levensmoe bij het zien van dit soort websites. Wat zou ie gekost hebben?
Als je googelt naar bedrijfdeliefdemettimkuik, komt jouw blog als enige resultaat naar voren, had dus naar mijn inschatting een veilig wachtwoord kunnen zijn...
Ik word altijd heel erg levensmoe bij het zien van dit soort websites. Wat zou ie gekost hebben?
Als je googelt naar bedrijfdeliefdemettimkuik, komt jouw blog als enige resultaat naar voren, had dus naar mijn inschatting een veilig wachtwoord kunnen zijn...
Door
Pixeltje,
dinsdag 4 december 2012 09:41
Zeker een van de betere (en confronterende) blogs die er geschreven zijn
Door
Slurpgeit,
dinsdag 4 december 2012 10:00
Tja, je hebt een punt. Maar alles wat ik tot nu toe geprobeerd heb is wat.. omslachtig. Plus, het feit dat ik toen met google niet kon inloggen als m'n telefoon leeg was, onhandigi-chat schreef op dinsdag 04 december 2012 @ 09:13:
2step auth anyone... ? nu nog een provider die ik vertrouw. je eigen oauth service is leuk maar als iedereen dat doet is er als nog geen sprake van security, dus bedrijven instellingen en sites die ongevalideerde oauth en dat soort gein accepteren neem je bij voorkeur ook niet serieus...
google neem ik dan wel wat serieuzer maar alleen in gevallen van NIET-privacygevoelige gegevens anders : volgende -> maar welke
.Ik heb overigens nu een ePass2003 om mee te testen. Tot nu toe gebruik ik hem alleen nog voor SSH en dergelijke, maar dat werkt opzich prima. Alleen probeer dat maar aan henk de thuisgebruiker uit te leggen
.
Door
Slurpgeit,
dinsdag 4 december 2012 10:03
Niet veel warmer dan bij een game, zo tegen de 100 graden (95, 96).Infant schreef op dinsdag 04 december 2012 @ 09:26:
Hoe krokant wordt zo'n radeontje dat die optie er in zit?
Ik word altijd heel erg levensmoe bij het zien van dit soort websites. Wat zou ie gekost hebben?
Als je googelt naar bedrijfdeliefdemettimkuik, komt jouw blog als enige resultaat naar voren, had dus naar mijn inschatting een veilig wachtwoord kunnen zijn...
[Reactie gewijzigd op dinsdag 4 december 2012 11:28]
Door
Sgreehder,
dinsdag 4 december 2012 12:26
Brute-force hoort niet meer mogelijk te zijn, neem bijvoorbeeld bcrypt waar o.a. een work factor wordt geintroduceerd. Het is aan de gebruiker om een wachtwoord te kiezen wat niet te makkelijk te raden is en niet wordt ingetikt op onbetrouwbare sites, maar het is wel heel makkelijk om de verantwoordelijkheid volledig op de gebruiker te verleggen.
Door
RoadRunner84,
dinsdag 4 december 2012 12:57
Whoop, mijn wachwoord is volgens hen in een 6943 jaar te kraken met een mega aanval
En geen hoofdletters!
En geen hoofdletters!
[Reactie gewijzigd op dinsdag 4 december 2012 12:57]
Door
Snowmiss,
dinsdag 4 december 2012 13:16
Een van mijn wachtwoorden in 7 x 104 millenia bij een mega aanval
Door
air2,
dinsdag 4 december 2012 16:28
Dit is op zich niet heel frapant. De linked in gegevens zijn niet gesalt. Dus het terughalen van een wachtwoord aan de hand van de hash is niet heel moeilijk. De sterkte van het wachtwoord doet er niet heel veel toe. Beter is voor iedere site een paar tekens in het wachtwoord anders hebben en lange wachtwoorden. Maar dat de wachtwoorden die jij nu vind, niet sterk zijn is wel een beetje te kort door de bocht.
Kijk als die linked in database plaintext wachtwoorden had bevat (en dat was BIJNA het geval, het zijn onsalted hashes) dan hadden al die wachtwoorden niet sterk geweest in jouw redenatie...
Het gaat een beetje op, maar niet helemaal.
Kijk als die linked in database plaintext wachtwoorden had bevat (en dat was BIJNA het geval, het zijn onsalted hashes) dan hadden al die wachtwoorden niet sterk geweest in jouw redenatie...
Het gaat een beetje op, maar niet helemaal.
Door
rawwater,
dinsdag 4 december 2012 16:31
Hoi , bij deze dus een vraag. Mijn computer is gehackt door een jongen die ik vaag ken hij is heel goed met computers en ik betwijfel niet dat hij de hierbovengenoemde methodes ook op mijn computer en email accounts heeft losgelaten. Aangezien ik niet zoveel weet over de technische kant van computers nam ik dus contact op met digibewust. Zij konden mij helaas niet verder helpen> Ze verwezen mijn door naar Fox-it maar die helpt geen particulieren. Ik wil geen aangiftd doen bij de politie ik wil allleen dat mijn computer en netwerk veilig is en dat eventueel gestolen data terug krijg. Waar moet ik heen voor deze hulp ? Alvast Bedankt !
Door
Slurpgeit,
dinsdag 4 december 2012 16:31
Naja, het ligt er natuurlijk aan wat voor soort aanval je gebruikt. Bij een brute force aanval op een database met gehashte wachtwoorden (Zonder salt), is lengte natuurlijk alles. Bij gebruik van woordenlijsten is het ook nog heel belangrijk dat je lange wachtwoord niet in één of andere variatie terug te vinden is op die woordenlijst.air2 schreef op dinsdag 04 december 2012 @ 16:28:
Dit is op zich niet heel frapant. De linked in gegevens zijn niet gesalt. Dus het terughalen van een wachtwoord aan de hand van de hash is niet heel moeilijk. De sterkte van het wachtwoord doet er niet heel veel toe. Beter is voor iedere site een paar tekens in het wachtwoord anders hebben en lange wachtwoorden. Maar dat de wachtwoorden die jij nu vind, niet sterk zijn is wel een beetje te kort door de bocht.
Kijk als die linked in database plaintext wachtwoorden had bevat (en dat was BIJNA het geval, het zijn onsalted hashes) dan hadden al die wachtwoorden niet sterk geweest in jouw redenatie...
Het gaat een beetje op, maar niet helemaal.
Daarnaast, vaak worden bij gelekte databases ook gewoon netjes de salt's gepost, omdat ze vaak (Niet altijd) in dezelfde database aanwezig zijn.
[Reactie gewijzigd op dinsdag 4 december 2012 16:36]
Door
air2,
dinsdag 4 december 2012 16:54
Daarom ook lijkt het me beter om per site een apart wachtwoord te hebben (al wijkt het maar aan paar tekens af (b.v. in het midden de eerste 3 tekens van de url zonder www).Slurpgeit schreef op dinsdag 04 december 2012 @ 16:31:
[...]
Naja, het ligt er natuurlijk aan wat voor soort aanval je gebruikt. Bij een brute force aanval op een database met gehashte wachtwoorden (Zonder salt), is lengte natuurlijk alles. Bij gebruik van woordenlijsten is het ook nog heel belangrijk dat je lange wachtwoord niet in één of andere variatie terug te vinden is op die woordenlijst.
Daarnaast, vaak worden bij gelekte databases ook gewoon netjes de salt's gepost, omdat ze vaak (Niet altijd) in dezelfde database aanwezig zijn.
Maar dat een wachtwoord met 11 tekens snel terug te vinden is vanuit de hash, tja, betekend het dat het wachtwoord ansich zwak is? Ik denk het niet. Gebruik je dat wachtwoord op 100 sites? Tja dan ben je wel zwak bezig, 1 gehackte site en je bent genadeloos jan met de korte achternaam.
Door
Slurpgeit,
dinsdag 4 december 2012 17:08
Nee, klopt. Echt zwak niet. Maar ik zou hem ook niet gebruiken voor belangrijke dingen als DigiD. Overigens sla je wel een spijkertje hier, want het aller, aller, aller belangrijkste is natuurlijk gewoon om verschillende wachtwoorden te hebben.air2 schreef op dinsdag 04 december 2012 @ 16:54:
[...]
Daarom ook lijkt het me beter om per site een apart wachtwoord te hebben (al wijkt het maar aan paar tekens af (b.v. in het midden de eerste 3 tekens van de url zonder www).
Maar dat een wachtwoord met 11 tekens snel terug te vinden is vanuit de hash, tja, betekend het dat het wachtwoord ansich zwak is? Ik denk het niet. Gebruik je dat wachtwoord op 100 sites? Tja dan ben je wel zwak bezig, 1 gehackte site en je bent genadeloos jan met de korte achternaam.
Door
Slurpgeit,
dinsdag 4 december 2012 17:16
Ik zou zeggen maak een topic aan op het forum, of stuur even een DM-metje.rawwater schreef op dinsdag 04 december 2012 @ 16:31:
Hoi , bij deze dus een vraag. Mijn computer is gehackt door een jongen die ik vaag ken hij is heel goed met computers en ik betwijfel niet dat hij de hierbovengenoemde methodes ook op mijn computer en email accounts heeft losgelaten. Aangezien ik niet zoveel weet over de technische kant van computers nam ik dus contact op met digibewust. Zij konden mij helaas niet verder helpen> Ze verwezen mijn door naar Fox-it maar die helpt geen particulieren. Ik wil geen aangiftd doen bij de politie ik wil allleen dat mijn computer en netwerk veilig is en dat eventueel gestolen data terug krijg. Waar moet ik heen voor deze hulp ? Alvast Bedankt !
Door
Gomez12,
dinsdag 4 december 2012 22:32
Je maakt 1 vergissing, je hebt nog niet 1 wachtwoord gericht gekraakt.
Die voorspelling qua tijd gaat over het gericht kraken van een wachtwoord, niet over lucky treffers.
Naast dat wordlists etc niet meegenomen zullen worden in die voorspelling (een goede wordlist bevat relatief weinig woorden namelijk, maar meer vaak gebruikte basis-wachtwoorden)
Een wachtwoord als QwerTy!2 zal met puur oplopend brute force giga-lang duren, maar met een willekeurige wordlist is het nog maar <100 ms
Terwijl hij toch voldoet aan de basisregels van de kunst.
Oftewel aan de regels achter de site valt wel wat af te dingen, maar aan jouw manier ook.
Die voorspelling qua tijd gaat over het gericht kraken van een wachtwoord, niet over lucky treffers.
Naast dat wordlists etc niet meegenomen zullen worden in die voorspelling (een goede wordlist bevat relatief weinig woorden namelijk, maar meer vaak gebruikte basis-wachtwoorden)
Een wachtwoord als QwerTy!2 zal met puur oplopend brute force giga-lang duren, maar met een willekeurige wordlist is het nog maar <100 ms
Terwijl hij toch voldoet aan de basisregels van de kunst.
Oftewel aan de regels achter de site valt wel wat af te dingen, maar aan jouw manier ook.
Door
Slurpgeit,
dinsdag 4 december 2012 22:37
Het hele punt is juist dat de site puur en alleen uit gaat van brute force aanvallen, terwijl de meeste aanvallers daar geen tijd aan zullen verspillen. Daarom is zonder enige nuance melden dat een wachtwoord met een lengte van x karakters, met y karakteristieken z tijd duurt om te kraken nogal gedurfd.Gomez12 schreef op dinsdag 04 december 2012 @ 22:32:
Je maakt 1 vergissing, je hebt nog niet 1 wachtwoord gericht gekraakt.
Die voorspelling qua tijd gaat over het gericht kraken van een wachtwoord, niet over lucky treffers.
Naast dat wordlists etc niet meegenomen zullen worden in die voorspelling (een goede wordlist bevat relatief weinig woorden namelijk, maar meer vaak gebruikte basis-wachtwoorden)
Een wachtwoord als QwerTy!2 zal met puur oplopend brute force giga-lang duren, maar met een willekeurige wordlist is het nog maar <100 ms
Terwijl hij toch voldoet aan de basisregels van de kunst.
Oftewel aan de regels achter de site valt wel wat af te dingen, maar aan jouw manier ook.
Overigens, is QwerTy!2 (afhankelijk van het type hash) relatief snel te kraken met een brute force aanval
.
Door
Gomez12,
dinsdag 4 december 2012 23:05
Maar met iets anders als brute-force is het eigenlijk gewoon een crap-shoot qua tijd.
Wordt jouw wachtwoord simpelweg als 1e getest dan is ook een 512 bytes wachtwoord zwak.
En hoezo is het type hash relevant voor een pure brute force? Die snap ik even niet.
Rainbow tables / hash prediction etc etc versta ik dan dus allemaal niet onder pure brute force.
Onder pure brute force versta ik : a - b - aa - ab etc. Dat is namelijk zo ongeveer de enige methode waarop simpele tijdsgaranties zijn af te geven.
En relatief gezien zullen de verhoudingen qua tijd wel kloppen.
Een 1 karakter wachtwoord is met brute force direct gekraakt, maar met wordlists en permutaties ook direct.
Een 40 karakter wachtwoord duurt met brute force een eeuwigheid, maar ook met permutaties kost 40 karakters permuteren simpelweg meer tijd als 1 karakter permuteren.
Wordt jouw wachtwoord simpelweg als 1e getest dan is ook een 512 bytes wachtwoord zwak.
En hoezo is het type hash relevant voor een pure brute force? Die snap ik even niet.
Rainbow tables / hash prediction etc etc versta ik dan dus allemaal niet onder pure brute force.
Onder pure brute force versta ik : a - b - aa - ab etc. Dat is namelijk zo ongeveer de enige methode waarop simpele tijdsgaranties zijn af te geven.
En relatief gezien zullen de verhoudingen qua tijd wel kloppen.
Een 1 karakter wachtwoord is met brute force direct gekraakt, maar met wordlists en permutaties ook direct.
Een 40 karakter wachtwoord duurt met brute force een eeuwigheid, maar ook met permutaties kost 40 karakters permuteren simpelweg meer tijd als 1 karakter permuteren.
Door
Slurpgeit,
dinsdag 4 december 2012 23:09
Simpel, het MD5 algoritme is veel sneller dan het sha512crypt algoritme. Zeker bij gebruik van OpenCL / CUDA zit er onwijs veel verschil tussen de verschillende types. Daar komen geen rainbow tables of wat dan ook bij kijken. Kijk voor de grap eens hier: http://hashcat.net/oclhashcat-lite/ . Onder het kopje performance staat een hele tabel met de snelheidsverschillen.Gomez12 schreef op dinsdag 04 december 2012 @ 23:05:
En hoezo is het type hash relevant voor een pure brute force? Die snap ik even niet.
Rainbow tables / hash prediction etc etc versta ik dan dus allemaal niet onder pure brute force.
Ohja, om alle wachtwoorden van 8 karakters met uppercase, lowercase, numbers en special chars te hashen naar MD5, heeft mijn game-pc 15 dagen nodig.
Door
Centropy,
woensdag 5 december 2012 04:33
Ik zeg alleen heel easy met klem... We want more !!!
Door
Rafe,
woensdag 5 december 2012 10:20
Aanvullend op de reactie van Slurpgeit hierboven: uit het onderzoek dat Tweakers op hun eigen database verricht bleek dat met verschillende woordenlijsten en permutaties de helft van de 330.000 wachtwoorden te kraken was binnen 17 minuten tijd... Door uit te gaan van alleen brute force-aanvallen negeert Digibewust de bittere realiteit en geven ze een gevoel van schijnveiligheid met die site van ze.
Door
DaSuperGrover,
woensdag 5 december 2012 10:45
Rofl over je P.S.
Leuk stuk, ga kritisch mijn passwords checken!
Leuk stuk, ga kritisch mijn passwords checken!
Door
Slurpgeit,
woensdag 5 december 2012 11:48
Leuk stukje wat hier mooi op aansluit denk ik: http://securityledger.com...urs-passwords-in-seconds/
Door
AlexanderB,
woensdag 5 december 2012 12:26
Dat idee had ik ook, maar uit het verhaal blijkt dat je niet je wachtwoord invult, maar aangeeft waar het ongeveer uit bestaat, een woord/meerdere woorden, getallen, speciale tekens, etc..painkill schreef op dinsdag 04 december 2012 @ 02:26:
Is het niet dom om je wachtwoord te gaan te testen op een site?
Een groot percentage mensen is uniek door de browser/plugin combinatie, dus alleen op die manier zijn er al veel wachtwoorden te achterhalen. Maar misschien denk ik ook weer te ver
Door
Kayr,
woensdag 5 december 2012 12:46
Leuk artikel. Het is goed om aandacht aan dit soort zaken te besteden. Door het bekritiseren van sites als digibewust worden we met z'n allen alleen maar bewuster.
Vind trouwens wel dat het eens tijd word voor een nieuwe kijk op inloggen. dus geen user/pass combinatie maar iets hips en moderners. Bovenal veilig natuurlijk.
Wonderbaarlijk wat je met een gratis tooltje en een berg hashes in zo'n korte tijd kunt bereiken.
Vind trouwens wel dat het eens tijd word voor een nieuwe kijk op inloggen. dus geen user/pass combinatie maar iets hips en moderners. Bovenal veilig natuurlijk.
Wonderbaarlijk wat je met een gratis tooltje en een berg hashes in zo'n korte tijd kunt bereiken.
Door
Mr.C4,
woensdag 5 december 2012 14:36
Wat vind je eigenlijk van de wachtwoorden die zulke sites generen: http://www.pctools.com/guides/password/
Door
thomasjuuu,
woensdag 5 december 2012 16:21
Geweldig, mooi artikel!
Door
tiempjuuh,
donderdag 6 december 2012 07:01
Zeer leuke blog,vdeze blijf ik volgen. Niet op twitter. Gewoon, volgen. Dat bestaat nog.
Door
-RetroX-,
donderdag 6 december 2012 12:31
Mooi stuk leesvoer! Ik zie uit naar je volgende item
Door
proatjeboksem,
donderdag 6 december 2012 14:39
Leuke blog!
Ik hoop trouwens dat de website in kwestie de wachtwoorden niet gebruikt om een betere wordlist.txt te bouwen
Ik hoop trouwens dat de website in kwestie de wachtwoorden niet gebruikt om een betere wordlist.txt te bouwen
Door
dualnibble,
vrijdag 7 december 2012 14:22
Wat ik wel interessant vindt is dat er nog steeds grote ondernemingen zijn waarbij wachtwoordeisen redelijk stom zijn te noemen. Zoals bij Digid:
Nog mooier doen ze het bij onze vrienden van Telfort (eerder Online/Orange/Wanadoo)
- Het wachtwoord moet bestaan uit minimaal 8 tekens en maximaal 32 tekens
- Bevat minimaal 1 kleine letter [a-z]
- Bevat minimaal 1 hoofdletter [A-Z]
- Bevat minimaal 1 cijfer [0-9]
- Bevat minimaal 1 bijzonder teken: [ - _ ! $ % & ' . = / \ : < > | ? @ [ ] ^ ` { } ~ ] Let op: bij sommige speciale tekens zoals een apostrof ' of een circonflexe ^ moet u misschien daarna een spatie doen om het teken in uw wachtwoord te gebruiken. U kunt dit testen door uw wachtwoord in een tekstverwerkingsprogramma in te tikken ~
- Mag niet uw gebruikersnaam bevatten
Nog mooier doen ze het bij onze vrienden van Telfort (eerder Online/Orange/Wanadoo)
- Het wachtwoord moet uit minimaal zes en maximaal acht tekens bestaan
- Leestekens zijn niet toegestaan
- Gebruik in ieder geval een hoofdletter en een cijfer
[Reactie gewijzigd op vrijdag 7 december 2012 14:32]
Reageren is niet meer mogelijk