Frage:
Verteidigung gegen Angriffe mit Wörterbüchern
Albert
2019-08-20 19:55:26 UTC
view on stackexchange narkive permalink

Einige Arten von Angriffen auf Passwörter verwenden Wörterbücher. Es ist sicherer, unsinnige Passwörter wie YunSUanLin , Artibichoke usw. zu verwenden, die sich anscheinend nicht auf ein Wörterbuch beziehen?

Wenn Sie eine Passphrase verwenden, die aus 10 zufällig ausgewählten Wörterbuchwörtern besteht, ist dies ** viel sicherer ** als ein Passwort mit 10 zufälligen Zeichen ... das hängt also davon ab.
`YunSuanLin` sieht aus wie ein gültiger chinesischer Name und bezieht sich wahrscheinlich auf chinesische 3-Pinyin-Wörterbücher, weshalb zufällige Generatoren der Erfindung von unsinnigen Wörtern vorgezogen werden.
Großes Thema.Salt ist wahrscheinlich der einfachste Weg, um Wörterbuchangriffe zu verhindern, aber es gibt auch andere Vektoren wie [bekannte Passwortlisten] (https://github.com/noloader/SecLists).Angreifer werden sicherlich alle schwachen / verwundeten / kompromittierten Passwörter auf der Liste ausprobieren.
@jww Ein Salz schützt absolut nichts vor Wörterbuchangriffen.
@MechMK1 - Salt macht die vorberechneten Tabellen ungültig.Siehe auch [OWASP-Bedrohungsmodell für die sichere Speicherung von Kennwörtern] (https://www.owasp.org/images/1/12/Secure_Password_Storage.pdf).
@jww Ja, aber Wörterbuchangriffe haben nichts mit vorberechneten Tabellen zu tun.Ein Wörterbuchangriff ist ein Angriff, bei dem Ihre Passwortkandidaten aus einer Liste von * wahrscheinlichen * Kandidaten ausgewählt werden, die innerhalb eines Schlüsselbereichs nicht möglich sind (d. H. Brute Force).
@MechMK1 - Woher werden Ihrer Meinung nach die vorberechneten Tabellen kompiliert?
@jww Ja, Sie generieren vorberechnete Tabellen aus Wörterbüchern. Wenn Sie jedoch anhand einer Tabelle suchen, ob bereits ein Hash berechnet wurde, führen Sie keinen Wörterbuchangriff durch, sondern einen Suchangriff.Dies ist nicht dasselbe, sie sind nicht austauschbar.
Obligatorische XKCD: https://xkcd.com/936/
@MechMK1 - [Wörterbuchangriff] (https://en.wikipedia.org/wiki/Dictionary_attack).Ich bin mir nicht sicher, ob ein "Lookup-Angriff" Mainstream ist.Seit ich mich erinnern kann, wurde es immer als Wörterbuchangriff bezeichnet.Ich zitiere Wikipedia nicht als maßgebliche Referenz.Ich benutze nur Wikipedia und Owasp als Beispiele, die die meisten Leute als Wörterbuchangriff bezeichnen.(Oder die meisten Leute, die ich kenne).
@jww Können wir dies bitte im [Chat] (https://chat.stackexchange.com/rooms/151/the-dmz) diskutieren?Ich möchte die Kommentare nicht mehr durcheinander bringen als ich es bereits getan habe
@MechMK1 - Es ist wahrscheinlich am besten, das Gespräch hier zu lassen.Wenn Sie sich über die Terminologie nicht sicher sind, können es auch andere sein.
@jww Ich glaube immer noch, dass wir eine grundsätzliche Meinungsverschiedenheit darüber haben, woraus ein "Wörterbuchangriff" besteht, und ich möchte die DMZ verwenden, um meinen Standpunkt klarer zu klären und Ihren Standpunkt zu erfassen.Denn im Prinzip liegen Sie nicht falsch, aber allgemeine Aussagen wie "Salze schützen vor Wörterbuchangriffen" sind falsch.
@jww Wenn Sie sich das von Ihnen zitierte OWASP-Beispiel ansehen, sehen Sie auf S. 10 "Dictionary Attack", "Brute Force Attack" und "(Pre-Computed) Rainbow Table Attack", was zeigt, dass es einen Unterschied zwischen den beiden gibt.
@MechMK1 - Ja, ich habe versucht, Rainbow Table Attack zu vermeiden.Dies gilt für MD5 und die Hash-Ketten aufgrund des Designs der Komprimierungsfunktion von MD5.Das Pre-Computing aus einem Wörterbuch gibt es schon lange.Es ist eher eine Eigenschaft des Angriffs.Sie können die Hashes vorberechnen oder das ungekochte Wort verwenden und die Transformation im laufenden Betrieb durchführen.
Lassen Sie uns [diese Diskussion im Chat fortsetzen] (https://chat.stackexchange.com/rooms/97768/discussion-between-mechmk1-and-jww).
Fünf antworten:
MechMK1
2019-08-20 20:18:10 UTC
view on stackexchange narkive permalink

Angreifer verwenden häufig nicht nur Wörterbücher, sondern auch Regeln, die die Wörter in Wörterbüchern permutieren.

Eine Regel könnte beispielsweise darin bestehen, Zahlen, die gleich aussehen, durch bestimmte Buchstaben zu ersetzen. Dies würde Passwort in P455w0rd verwandeln.

Eine Regel, die in diesem Fall gelten könnte, wäre, einzelne Buchstaben aus einem Wort zu entfernen. Das bedeutet, dass Sie das Passwort nur durch Entfernen eines Buchstabens permutieren oder absichtlich falsch schreiben, um bessere Chancen zu erhalten. Dies ist jedoch nicht garantiert.

Um Ihre Frage speziell zu beantworten: Ja , es ist sicherer unsinnige Wörter zu verwenden, als Wörter in einem Wörterbuch zu verwenden.

Es ist jedoch nicht so sicher wie möglich. Ein Offline-Passwort-Manager kann wirklich zufällige Passwörter für Sie generieren und diese verschlüsselt speichern. Dies bedeutet, dass Sie niemals Ihr Passwort eingeben müssen, außer das Hauptkennwort, um den Passwort-Manager zu entsperren.

Um dies zu demonstrieren, fragen Sie sich, welches Passwort Sie für sicherer halten: YunSuanLin0 oder [D @, 7 ## M] enMd *) j5fxG ~ KQ ~? r \ <DdV ^ ?

Kommentare sind nicht für eine ausführliche Diskussion gedacht.Diese Konversation wurde [in den Chat verschoben] (https://chat.stackexchange.com/rooms/97898/discussion-on-answer-by-mechmk1-defense-against-attacks-using-dictionaries).
Jenessa
2019-08-20 20:03:42 UTC
view on stackexchange narkive permalink

Dies scheint eine Frage zu sein, die eine offensichtliche Antwort hat, aber nicht so trivial ist.

Wörter, die nicht in Wörterbüchern erscheinen, sind zufälliger ('Entropie') und daher schwerer zu erraten Computer.

Aber sie sind auch für Menschen schwerer zu merken. Und das führt zur Wiederverwendung des Passworts. Das ist sehr schlecht.

Wenn Sie keinen Passwort-Manager verwenden (und sollten!), Ist die Verwendung eines Satzes aus zufälligen Wörterbuchwörtern normalerweise sicherer als zufällige Nichtwörter. Weitere Informationen hierzu finden Sie hier: Welches Passwort soll ich verwenden? (mit einer sehr genauen und leicht verständlichen visuellen Erklärung)

Weitere Informationen zu Passwort-Managern hier.

Tom
2019-08-21 14:34:52 UTC
view on stackexchange narkive permalink

"Sicherer" ist ein relativer Begriff. Sicherer als was, unter welchen Bedingungen?

Unter rein theoretischen Bedingungen sind unsinnige Wörter unter der Annahme eines Brute-Force-Angriffs "sicherer" in dem Sinne, dass es sehr wahrscheinlich ist, dass der Angreifer a versucht Wörterbuchangriff vor einer umfassenden Suche.

Unter realen Bedingungen treten Wörterbuchangriffe unter zwei Umständen auf: a) Erzwingen des brutalen Eindringens in ein System und b) Brechen von Kennwörtern in einer durchgesickerten Datenbank mit Kennwort-Hashes.

Die Lösung für a) besteht darin, keine defekte Software zu verwenden. Wenn Ihre Software den Angreifer nach 10 oder 100 oder einer anderen Anzahl fehlgeschlagener Versuche nicht sperrt, ist Ihre Software defekt.

Für b) ist es wahrscheinlich, dass der Angreifer nach dem Brechen der üblichen einfachen Methode stoppt Passwörter, die viele Benutzer verwenden werden. Er wird es wahrscheinlich ein bisschen länger laufen lassen, aber es wäre ungewöhnlich, dass er den Cracker so lange laufen lässt, bis er alle Passwörter erhalten hat - er hat wahrscheinlich mehrere weitere durchgesickerte Datenbanken mit einfachen Zielen, für die seine Zeit und Ressourcen besser aufgewendet werden.

Für b) verbessert ein Passwort, das nicht im Wörterbuch enthalten ist, und keine einfache Permutation (Cracker kennen die üblichen "O durch Null ersetzen" -Substitutionen und vieles mehr) Ihre Chancen, nicht auf haveibeenpwned zu sein, dramatisch. com

Sie werden immer noch auf _haveibeenpwned_ landen, als ob die Datenbank online gestellt wird (auch wenn die Passwörter nicht geknackt sind). Es besteht die Möglichkeit, dass sie geknackt wird, sodass alle Adressen zur Liste hinzugefügt werden.
Michael Haephrati
2019-08-21 02:33:57 UTC
view on stackexchange narkive permalink

Was die Wörterbücher betrifft, enthalten sie eine Liste der am häufigsten verwendeten Passwörter, und das können auch unsinnige Phrasen und Wörter sein. Zum Beispiel sind x + word + 123 oder x + monkey neben qwerty einige der am häufigsten verwendeten Passwörter, die nicht wirklich sinnvoll sind. Sie können also unsinnige Passwörter verwenden, aber stellen Sie sicher, dass diese unvorhersehbar und nicht so häufig sind. Und wenn Sie Ihre Passwörter stärker machen möchten, können Sie die ersten 2 oder 3 Wörter mehrerer Phrasen kombinieren. Wenn Sie Ihrem Passwort Sonderzeichen hinzufügen können, sind Sie außerdem viel sicherer.

Sonderzeichen sind eigentlich ** nicht ** sicherer.Mir sind keine einzigen empirischen Beweise bekannt, die belegen, dass sie die Sicherheit verbessern.Im Gegenteil, sie machen es schwieriger, sich Passwörter zu merken (was die Wahrscheinlichkeit erhöht, dass sie aufgeschrieben werden) und die Eingabe zu erschweren (was das Surfen auf den Schultern erleichtert).
Ich stimme Toms Besorgnis zu, habe mich aber trotzdem dafür ausgesprochen, dass ein "Wörterbuch" für Passwörter weit mehr enthält als tatsächliche wörtliche Wörter aus einem englischen Wörterbuch.Zu viele Menschen haben die seltsame Idee, dass sie in Sicherheit sind, wenn sie etwas auswählen, das nicht in der alten Ausgabe von Merriam-Webster in ihrem Regal steht.
Ich würde argumentieren, dass es keinen Unterschied zwischen regulären Zeichen und Sonderzeichen gibt, die Gewichtung ist gleich, aber wenn Sie AUCH Sonderzeichen verwenden, ist die Anzahl der Kombinationen pro Zeichen größer, daher ist es am besten, einen möglichen Wert aus der ASCII-Tabelle und zu verwendennicht nur Ziffern und alphabetische Werte.Das ist wahr, wenn Sie ein Passwort brutal erzwingen.Es dauert länger, ein Passwort, das Sonderzeichen enthält, brutal zu erzwingen.
Tom K.
2019-08-22 16:29:25 UTC
view on stackexchange narkive permalink

TL; DR: Der sicherste Weg, ein Passwort zu generieren, ist die Verwendung eines Passwort-Managers.

Jemand, der Hashes knackt oder Anmeldeversuche brutal durchführt, verfügt über mehrere Tools, um mögliche Passwörter (bzw. Passwort-Hashes) zu finden ) fraglich. Wörterbücher oder Wortlisten sind nur eine davon. Es reicht also nicht aus, Ihre Abwehrtechniken nur gegen Wörterbücher einzuschränken.

Wie andere bereits festgestellt haben, werden Regeln definiert, um manchmal die Wörter zu "verbessern", wenn ein Angreifer Tools wie Hashcat oder John the Ripper verwendet in Wortlisten gefunden. Diese Regeln können relativ einfach definiert werden. Aber woher kennen die Angreifer diese Regeln? Und woher kommen diese Wörterbücher?

Die zweite Frage kann leicht beantwortet werden: Wie das berüchtigte rockyou.txt werden viele andere Wörterbücher nach Datenverletzungen von Major (oder kleinere) Unternehmen.

Jetzt haben Sie Ihre Wortliste. Woher bekommen Sie Ihren Regelsatz?

Kehren wir zu diesen Wörterbüchern zurück. IIRC rockyou.txt enthält ~ 14 Millionen Passwörter. Millionen von Benutzerkennwörtern an einem Ort, mit denen Sie einen riesigen Datensatz erhalten, welche Kennwörter am häufigsten verwendet werden, welche Buchstaben groß geschrieben werden und wo normalerweise Zahlen und Sonderzeichen stehen.

Die Wortlisten haben sich im Laufe der Jahre etwas geändert weil wir den Leuten beigebracht haben, andere Passwörter als "iloveyou", "Passwort" oder "Baseball" zu erstellen. Die Änderung ist jedoch langsam, da a) viele ältere Menschen und b) Menschen aus Schwellenländern, in denen die Kennwortkompetenz nicht weit verbreitet ist, Zugang zu digitalen Diensten erhalten.

Das Wesentliche ist: Die Benutzer möchten ihre Kennwörter eingeben leicht und sie möchten sich leicht an sie erinnern.

Einfache Eingabe ist wichtig, wenn es um Zahlen und Sonderzeichen geht. Theoretisch gibt es rund 200 Sonderzeichen, die Sie einfach mit ALT + Numpad-Kombinationen eingeben können. In Wirklichkeit verwenden die meisten Leute jedoch ein oder zwei dieser Zeichen (abhängig vom Tastaturlayout) :! @ #} |) (US) ,! "§ * # = (DE).
Wahrscheinlich sehen Sie hier ein Muster, weil das Gleiche für Zahlen gilt: 1209 werden am häufigsten in der Luft verwendet.

Um auf Ihre Frage zurückzukommen.
Was genau möchten Sie erreichen?
Sie möchten nicht wie jeder andere Benutzer Kennwörter generieren. Sie möchten kein Wort aus einem Wörterbuch verwenden. Verwenden Sie also den Passwort-Manager, oder? Das kann man aber nicht immer tun. Wenn Sie sich bei Ihrem System anmelden, haben Sie noch keinen Zugriff auf Ihren Kennwortmanager.

Manchmal müssen Sie sich ein Kennwort merken, und dann möchten Sie ein Kennwort haben, an das Sie sich leicht erinnern können und auch sehr stark. Mein Vorschlag: Probieren Sie etwas wie Diceware aus oder lassen Sie einen Passwort-Manager ein Passwort für Sie generieren und speichern Sie es anschließend. Verwenden Sie seltsame Wörter und konjugieren Sie sie. Verwenden Sie Sonderzeichen, die etwas schwieriger zu tippen sind als "!". Verwenden Sie nicht nur ein Sonderzeichen oder eine Zahl.

Wenn Sie sich denken, dass Sie an eine clevere Regel gedacht haben, stellen Sie sicher, dass es eine Million andere Menschen gibt, die dasselbe tun, und diese Angreifer wird auch über diese Regel Bescheid wissen.

Am wichtigsten: 1. Verwenden Sie sehr lange Passwörter. 2. Verwenden Sie keine Passwörter, die wie die aller anderen erstellt wurden. Denn dies sind die Passwörter mit Erstellungsregeln, die jeder Angreifer kennt. So verteidigen Sie sich gegen einen Wörterbuchangriff.

Was Sie aus einem sicheren Passwort herausholen, ist Zeit. Zeit, die nützlich ist, um Ihr Passwort zu ändern, nachdem ein Konto kompromittiert wurde. Die Länge Ihres Passworts und die Art und Weise, wie Sie Passwörter erstellen, verschaffen Ihnen diese Stärke und diese Zeit.

"2. Verwenden Sie keine Passwörter, die wie die aller anderen sind. Weil dies die Passwörter mit Gebäuderegeln sind, die jeder Angreifer kennt." "Oder besser:" 2 ". Angenommen, der Angreifer kennt die Bauvorschriften. NurVerwenden Sie Gebäuderegeln so, dass sie Ihr Passwort trotz dieses Wissens nicht erraten können. "Schließlich empfehlen Sie Diceware im vorherigen Absatz.
Ich kann mich nicht einmal daran erinnern, wie viele Leute glauben, dass `oKmJuHbGtFcDe` ein sicheres Passwort ist.Es sieht gut aus, nicht wahr?Bis Sie versuchen, es auf Ihrer Tastatur einzugeben.
Höchstwahrscheinlich Leute ohne QWERTY-Tastatur, MechMK1;)
@P-L Die Sache ist, sie glauben, dass sie "klug" sind und dass "kein Hacker das jemals herausfinden könnte".Deshalb sage ich "Wenn Sie denken, Sie haben das System gespielt, hat das System Sie nur gespielt".


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
Loading...