Jelszófel(nem)törési verseny HUP olvasóknak

Hacker, White Hat

Az ELTE IIG szuperszámítógép beszerzését követő tesztidőszakban lehetőség nyílik neketek egy valódi jelszóerősség próbára.

A jelszavak erősségét a népszerű 'John The Ripper' programmal vizsgáljuk, ami megpróbálja megfejteni azt. Ha sikerül: a jelszó gyenge volt.

Ha szeretnél részt venni a tesztben, akkor:

  • Adj itt meg egy kódolt jelszót egy hozzászólásban!
  • Ne írj ez ügyben privát üzenetet, sem e-mailt!
  • Maximálisan 8 karakteres legyen a jelszó, ezzel emlékezünk meg néhány elavult rendszer tervezési hibájáról.
  • Ne adj meg éles jelszót, ne add meg más jelszavát, ne add meg a főnök/root jelszavát, ne sérts törvényt, ne is akarj!
  • A következő formátumban add meg a kódolt jelszót:
    mkpasswd -m des

    ez a parancs rákérdez a jelszóra. Add meg neki. Kiír egy kódolt sztringet, ami a jelszavad kódolva. Elvileg nem (vagyis roppant nehezen) visszafejthető. Írd azt ide be egy hozzászólásban!

Pár nap mulva, amikor kész vagyok a konfigurálással, egyéb tesztekkel, akkor az itt feltüntetett kódolt jelszavakat, valamint különböző hosszú generált jelszavakat megetetem a john programmal. Hagyom futni cca 1 napot.
Letörlöm a megtalált jelszavakat.
Megírom az eredményt, vagyis, hogy ki által adott próbajelszó volt gyenge, és kié erős. A megtalált jelszavakat nem közlöm. (Le fogom törlölni.)
További konfigurálásokat és teszteket fogok végezni az éles üzem indulásához.

Hogy a törés sikeres-e vagy sem, azt nem bizonyítom, hidd el (vagy ne).

A Saját tesztjelszavaim: 


pwgen 4 25
pwgen -s 4 25
pwgen 5 25
pwgen -s 5 25
pwgen 6 25
pwgen -s 6 25
pwgen 7 25
pwgen -s 7 25
pwgen 8 25
pwgen -s 8 25

Mivel tesztidőszak, teszt, ezért lehetséges, hogy "nem sikerült futtatni" lesz az eredmény.

Az architektúráról bővebben
A gépről bővebben

( Huncraft v | 2010. 04. 26., h – 21:07 )

1QsGfchm3Eovg

u.i.: Tekintve, hogy csak simpla DES-t engedsz ( nem 3DES, vagy netán saltolt DES ) így kicsit idejétmúlt mérési módszernek tartom ezt így, tekintve, hogy a DES-t iszonyat de gyorsan lehet bruteforce-olni..
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

1 mag 1246K c/s. elmeleti maximumkent 360 magra 448560K c/s. Ami 1 nap alatt 38 755G probalkozas.
8 karakteres jelszo 281 474G variancia, vagyis cca 7.3 nap alatt alatt vegezne a teljes terrel. Ez nem teljesithetetlen, de ennyi gepidom mpi tesztre nincs, 1 napom van. Masnak lehet ennyi ideje. Celom felhivni a figyelmet, hogy a "minimum 8 karakter" onmagaban semmit nem er.

( T_chris | 2010. 04. 26., h – 21:27 )

qSgESpdBTym3U
- - - - - - - - - - - - - - - - - - - - - - - - -
Fejlődőképes hiperláma, és okleveles érdekfeszítő

1.) itt szó sincs semmiféle hash -ról
2.) itt des-kódolt jelszavak vannak
3.) amért itt nem bináris "katyvaszt" látsz, hanem printable ascii karaktereket, az a base64 encode miatt van.
http://hu.wikipedia.org/wiki/Base64

Annyira, de annyira szeretem, amikor valaki fogalom nélkül "lol"-ozik, és közben kiderül, hogy fingja sincs a dolgoról, és keveri a szezont a fazonnal.

Az nem valószínű, mert nem a végén van.
Valószínűleg + helyett van, vagy ez nem Base64 csak valami hasonló. (Kerestem, de nem találtam forrást sem a cáfolatra sem a megerősítésre.)

"...handing C++ to the average programmer seems roughly comparable to handing a loaded .45 to a chimpanzee." -- Ted Ts'o

( ZsoL | 2010. 04. 26., h – 22:15 )

AEj6wZQKXERMU

(btw, a regi login noduson az mkpasswd nem ismeri a -m opciot :p)

( hrgy84 | 2010. 04. 26., h – 23:38 )

Az mkpasswd melyik csomag resze nalad? Nalam az expect-ben van ilyen, de az nem fogad el -m parametert, es nem is kerdez jelszot, csak general.
-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

( DirtY_iCE | 2010. 04. 27., k – 00:22 )

ERnxcs6FMbJYI
q7F94B87q3NtQ
wFW36hj4MlcDs

I hate myself, because I'm not open-source.

( naszta v | 2010. 04. 27., k – 07:57 )

Aki nyilvánosan küldött itt jelszót, az mind vesztett, hiszen a jelszava fellelhető nyilvános weboldalon... :)

Én inkább küldök privátban... :)
--
http://www.naszta.hu

Nyilván a pwgen használatától függ, de egyetlen (itt közölt és ezáltal) megfejtett jelszavad után már sejteni lehet, hogy milyen opciókkal használod a pwgen-t. Azt is lehet tudni, hogy alapesetben a pwgen a jelszavak generálásakor a könnyebb megjegyezhetőség és kiejthetőség kedvéért megkülönbözteti a magánhangzókat a mássalhangzóktól és ennek figyelembevételével hozza létre a véletlennek tűnő, de ezáltal közel sem teljesen véletlen karaktersorozatokat. Alapból nem ad hozzá szimbólumokat és egyéb speciális karaktereket sem és paraméterezhető úgy, hogy kerülje a félreérthető (O vs 0, stb.) karakterek használatát.

Ezek bár segítenek emberibb jelszavakat generálni, de kriptográfiai gyengeséget okoznak, hisz kisebb entrópiájú kulcsokat eredményeznek. Ha nem használod -s kapcsolóval a pwgen-t, akkor jóval egyszerűbben megfejthető jelszavakat használsz, mert bár az nem tudható kapásból, hogy mi pontosan a jelszó, de azt igen, hogy mi biztosan nem (pl. hogy nem tartalmaz egymás mellett 3 mássalhangzót). Ez pedig csökkenti a kulcsteret, amit be kell járnia egy jelszótörő programnak, ergo könnyebben törhetők a jelszavaid.

Ha -s kapcsolóval használod a pwgen-t, akkor is vannak még gyenge pontok bőven. Pl. biztosra tudható, hogy nem tartalmaznak a jelszavaid szóközt és sok más karaktert... ;)

Az, hogy szereztel valakitol egy darab jelszot, illetve kaptal 1 informaciot a jelszavairol meg felrevezeto is lehet.

Elkepzelheto, hogy minden alkalommal mas-mas parameterekkel hasznalja a pwgen-t es mondjuk 3 havonta cserelgeti a jelszavat.

Egy felrevezeto feltetetelezes pedig ugy leszukitheti a kulcsteret, hogy a keresett jelszo mar benne sem lesz es csak az idodet pazarlod, mig a feltetelezes nelkul esetleg hamarabb meg is talalnad.

Ha valaki tenyleg torni szeretne, akkor ketszer is gondolja meg, milyen feltetelezesekkel teszi.

Lehet ilyen kicsavart logikát alkalmazni és végtelenségig fokozni a gondolatmenetet, hogy mi van ha megsejtik, hogy félrevezetés és ebből levonják a következtetést, meg utána, hogy mi van, ha megsejtik, hogy megsejtették... A mondandóm lényege az volt, hogy ez is egyfajta profilozás.

A fantomkép készítők és azok főnökei se legyintenek a rendőrségen, hogy ugyan mi értelme az egésznek, hisz lehet, hogy csak álbajusz volt a bűnözőn. :)

ha én félrevezetésképpen egy, az enyémtől teljesen különböző jelszót adok meg visszafejtésre, azzal nem hogy segítek a rosszindulatú kódfejtőnek a valódi jelszavamhoz hozzáférni, de még nehezítem is a dolgát, amennyiben a csali jelszón kezd el dolgozni. Ennél jóval egyszerűbb és biztosabb más módon megpróbálni hozzáférni a valódi jelszóhoz.

Értem én, hogy most hirtelen mindenki csali jelszót adott meg és saját jelszavaitól tökéletesen el tudott vonatkoztatni (még ha tanulmányok bizonyítják is, hogy az emberek jórésze erre képtelen), de légy szíves ne folytassuk ezt tovább, mert ilyen neveket kellene előhoznom a témában, mint Bruce Schneier vagy Eric Cole és mégis csak égő lenne az számukra, hogy te jobban vágod a témát.

"mert ilyen neveket kellene előhoznom a témában, mint Bruce Schneier vagy Eric Cole és mégis csak égő lenne az számukra, hogy te jobban vágod a témát."
- Az, hogy számukra égő lenne egy, hozzájuk képest a témában kevésbé jártas ember hozzászólása, én nem gondolnám. A te gyenge lábon álló érvelésed az ő nevükkel által való megtámogatása viszont annál inkább az lehet...

"Írjál be még néhány csali jelszót, hogy jól megvezesd a rosszindulatú kódfejtőket!"
- Eddig sem volt ilyen szándékom.
"Alkalomadtán pedig olvasd el újra, hogy mikről írtam, hátha sikerül majd egyszer megérteni."
- Elolvastam, értem hogy miket írsz, csak nem értem miért írod :)

Ha nem érted, akkor segítek ismét, biztos nem olvastad végig a szálat. Volt egy ilyen kérdés, hogy annak az információnak a birtokában, ha a jelszavak mindig pwgen segítségével készülnek mennyivel lesznek könnyebben megfejthetők. Erre írtam le a pwgen-nel kapcsolatban néhány problémát és azt, hogy ezek egy része milyen kapcsoló segítségével mérsékelhetők, de azt is, hogy az még mindig nem jelent száz százalékos megoldást. Erre jött egyből egy olyan reakció, amely gyakorlatilag feltételezte, hogy mindenki azzal a kapcsolóval használja a pwgen-t, sőt valószínűleg véletlenszerűen variálják is a felhasználók a pwgen kapcsolóit, hogy még nehezebb legyen megfejteni, ja és még 3 hónaponként cserélik is ezeket a beállításokat.

Aki foglalkozott már jelszóházirend beállítással és felhasználók által választott jelszavak auditálásával, az tudja, hogy miért mosolygok szépeket ezeken a remek feltételezéseken, meg a csodacsalis konspirációs elméleteken.

Az a te dolgod, megis van valami igazsaga. A legtobben mindig ugyanugy futtatjak a pwgen-t, mert az a konnyebb, es sokan nem is adnak neki semmilyen parametert - mert az meg konnyebb. Az emberek alapvetoen lustak, ezt tudomasul kell venni.
-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

Szerintem meg az hogy folyamatosan azt bizonygatod, mekkora felelőtlenség nyilvánosan megadni a saját jelszóra szerkezetében hasonlítót megadni, amikor ennek abszolút semmilyen biztonsági kockázata nincsen (és ehhez megpróbálsz felvonultatni olyan érveket, amik erre az esetre nem vonatkoznak), kifejezetten a szarrágás kategóriája. Ferdítés, terelés... ezt inkább nálad érezni.

Szerintem meg az hogy folyamatosan azt bizonygatod, mekkora felelőtlenség nyilvánosan megadni a saját jelszóra szerkezetében hasonlítót megadni, amikor ennek abszolút semmilyen biztonsági kockázata nincsen

Nyilván kurva nagy szakértő vagy a témában és szerinted semmilyen biztonsági kockázata nincs.

Természetesen Automated Password Profiling eszközök se léteznek, ezek csak kitalációk.

Nincs törhetetlen jelszó. Minden lehet, csak akarni kell. Viszont amennyiben egy jelszó feltörése több időt, energiát, anyagi ráfordítást igényel, mint amennyi haszonnal kecsegtet a megfejtése, úgy igen valószínűtlen a vele való foglalatosság. De gondolom ez neked nem lényeg, hiszen láthatóan te előszeretettel fektetsz energiát olyan dolgokba, aminek kimenetele számodra csak negatív eredményt hozhat :)

Az ilyen "ha ő azt hiszi, hogy én azt hiszem, hogy ő azt hiszi, ..." gondolatmenet helyes megfejtése az, hogy nem szabad semmit sem hinni. :-D

Másrészt ha a 8 karakteres jelszó megfejtése alapján leszűkítjük a kört a kisbetű-nagybetű-számok halmazra (angol abc -> 62 karakter), akkor sem vagyunk sokkal előrébb, ha elég hosszú jelszót választ a célszemély. Ha egy ilyen 8 karakteres jelszót brute force módszerrel egy óra alatt tudunk feltörni, akkor egy ugyanilyen összetételű, de 24 karakteres jelszóra már ~1,9*10^29 óra (~2,2*10^25 év) kell. Így, ha csak a brute force módszert tudja használni a támadó, akkor ez már elég jónak tűnik. Mivel néha(?) más módszerek is alkalmazhatóak, így célszerű bővíteni egyéb jelekkel a használható karaktereket.

-----
Innen most töltsünk tiszta vizet a nyílt kártyákba: ...

Ha egy ilyen 8 karakteres jelszót brute force módszerrel egy óra alatt tudunk feltörni, akkor egy ugyanilyen összetételű, de 24 karakteres jelszóra már ~1,9*10^29 óra (~2,2*10^25 év) kell.

Mint írtam ez abszolút a kripto algoritmustól függ és attól, hogy nyers erőn alapuló módszerrel lehet-e csak törni.

Nem érdemes kifelejteni azt a lehetőséget sem, hogy az algoritmus szenvedhet olyan kriptográfiai gyengeségben, amitől a kulcstér nem exponenciálisan fog növekedni a kulcshossz növelésével. Erre már volt pár példa a történelemben... :)

Csak egy egyszerű példát írtam. A konkrét törési időnek nincs nagy jelentősége. Erre egy másik példa: ha a feltételnek megfelelő 8 karakteres jelszót 1 óra helyett 1 perc alatt törik fel, akkor 24 karakter esetén még mindig ~3,7*10^23 évre van szükség.

A kriptográfiai gyengeségre utaltam a "néha(?) más módszerek is alkalmazhatóak" kitétellel.

-----
Innen most töltsünk tiszta vizet a nyílt kártyákba: ...

Akkor ezek után kifejezetten kiváncsi leszek arra, hogy sikerül e az általam beküldött jelszót visszatörni ( a jelszót sehol nem használom ( eleve nem használok 8 karakter alatti jelszavakat! ), és véletlenül se generált jelszó, hanem "home-made" az általam használt szabályoknak megfelelően). Mondjuk azt bevállalom, hogy ha nem sikerül visszafejteni, akkor megmondom mi lenne plainben a megfelelő megoldás..
Aztán ha ez bárkinek is segítség, akkor az örüljön magának (max azt tudja meg, hogy nem a könnyebb jelszavak felé kell körbenéznie )
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

Erre is próbáltam utalni. Kriptográfiai szempontból az is jó feltétel, ha tudni lehet, hogy a kulcs minimum 9 karakter és nem csak alfanumerikus karaktereket tartalmaz. Ezen információk birtokában csökkenthető a bejárandó kulcstér, ezáltal a helyes jelszó megtalálásához szükséges időt.

Az már egy másik kérdés, hogy érdemes-e egy kripto algoritmust 8 karakternél hosszabb, nagy entrópiájú kulccsal és nyers erő módszerrel adott esetben támadni. A két dolog ettől még nem keverendő össze.

Arról meg már nem is beszélve, hogy hadtudományokban van egy olyan mondás, hogy még az is információ, ha nincs információ. Itt ráadásul meg van bőven... ;)

Részben 1et értek veled..

Alap példa ugyebár:
A legtöbb jelszó ugyebár kisbetű+nagybetű+szám karaktereket használ, azokat is a standard angol ABC betűiből. Ez esetben a lehetséges kulcstér 8 karakter esetén az alábbi:
abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789]
26 (angol ABC betűí ) * 2 ( kis-nagybetű ) + 10 ( 0-9 )^8=
62^8= 218.340.105.584.896

Abban az esetben, ha az illetékes emberkénknek a fülébe jut, hogy illetőnk komolyabban vette a jelszókezelési szabályokat, így 1 speciális karaktert is használ, úgy kb az alábbi helyzet fog előállni (azt nem tudhatjuk, hogy a symbol karaktereket, vagy a teljes karakter térben lévő karakterek közül használt e valamit, így biztosra megyünk):
abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789!@#$%^&*()-_+=~`[]{}|\:;"'<>,.?/

26 (angol ABC betüí ) * 2 ( kis-nagybetű ) + 10 ( 0-9 )^7 *32 (spec characterek száma, szóközt nem számítva)
62^7*32 = 112.691.667.398.656

Így valóban jogos a felvetés, hogy csökkent a kulcstér, és ezen kis információ birtokában kb a felé is csökkent a szükséges törési idő.

DE..
Ez az eset csak akkor áll fent ha tudjuk, hogy az utolsó karakter biztosan a spec char.. Amennyiben ebben sem vagyunk biztosak, úgy a permutációs szám nyomban a nyolcszorosára nő, ami már jelentősen megnöveli a kulcsteret ( és ha számba vesszük, hogy több helyen is használhat spec karaktert akkor még rosszabb a helyzet )

Ráadásul a user használhat a régiója szerinti speciális karaktert (magyar kiosztás esetén ékezetet), vagy ezen felül más spec karaktereket is ( pl. ALTGR+5 == ° ). Ezen karakterek száma is elég magas, így lehet csak magát szopatja a támadó, mire rájön, hogy épp mi járt a másik fejében amikor a jelszót legenerálta.

Ehhez persze még hozzá tartozik, hogy hiába is tudja meg a támadó, hogy a jelszó mondjuk 13 karakter hosszú, ha az a kulcstér már annyira de magas, hogy emberi időn belül már nem tudja kipörgetni, vagy addigra már átírták a jelszavát ( éljenek a security rule-ok ).

Persze az amit mondtál ettől függetlenül még valóban érvényes. Azzal, hogy tudod, hogy kb milyen rule-ok alapján generálták a jelszót a kulcstér csökkenthető.. De nem biztos, hogy ezzel még jobban jártál..

____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

"Ha szeretnél részt venni a tesztben, akkor:

Adj itt meg egy kódolt jelszót egy hozzászólásban!
Ne írj ez ügyben privát üzenetet, sem e-mailt!
Maximálisan 8 karakteres legyen a jelszó, ezzel emlékezünk meg néhány elavult rendszer tervezési hibájáról.
Ne adj meg éles jelszót, ne add meg más jelszavát, ne add meg a főnök/root jelszavát, ne sérts törvényt, ne is akarj!
A következő formátumban add meg a kódolt jelszót:
mkpasswd -m des
ez a parancs rákérdez a jelszóra. Add meg neki. Kiír egy kódolt sztringet, ami a jelszavad kódolva. Elvileg nem (vagyis roppant nehezen) visszafejthető. Írd azt ide be egy hozzászólásban!"

Olvasni nehez?

Ha villanyt oltasz a sötétnek
És halkan kicipzározod őt
És magadba rakod a régi semmit
A megszokott soha el nem jövőt

http://szolarenergia.hu

( hanzo v | 2010. 04. 27., k – 08:21 )

mn3EnVt3/p7BY

Ha villanyt oltasz a sötétnek
És halkan kicipzározod őt
És magadba rakod a régi semmit
A megszokott soha el nem jövőt

http://szolarenergia.hu

( sh4d0w808 | 2010. 04. 27., k – 08:59 )

1mDztdaIHSUVo

-------------------------
Trust is a weakness...

( radix | 2010. 04. 27., k – 09:14 )

tr.FzhIggYgY.
dgooqEuGYXcA2
L3ap.4I7Gaqu6

( pcdevil | 2010. 04. 27., k – 10:09 )

oeIFl4R5gSBPw

"Nyugi! Minden a legnagyobb rendben csúszik ki a kezeim közül..." - Douglas Adams
"I can't win, but I can fight! And I make your life miserable."

( blalo | 2010. 04. 27., k – 11:00 )

Na ezt futtasd le rajta:
miabiztosítékhogyvalóbantorlodajelszavakat

( amagda | 2010. 04. 27., k – 11:53 )

Remelem a hozzaszolasok kozott sok teljesen hasrautott random betusor is van ;)

( emberk | 2010. 04. 27., k – 13:17 )

Nekem egy tranzisztor száma és altípusa a "mesterjelszavam" amit nem adok ki természetsen, de Kis/nagybetű vegyesen speciális karakter is van benne. 17 karakteres. Úgy tudom kb ez kezd jó leni 21 karakter esetén azt hiszem azt tartják gyak feltörhetetlennek.

------
3 fajta matematikus létezik. Aki tud számolni, és aki nem.

MSN esetében szívtam régebben, mégpedig a hotmailes regisztráció max. 8 karakteres lehetett (most megnéztem, legalább 6-nak kell lennie - vagy összekevertem valamit?). Fogtam egy keepassx-et, és a lehető legtöbb lehetséges karakterrel egy 8 karakteres random hülyeséget készíttettem. legnagyobb meglepetésemre 2-3 nap után már ráállt a kezem, és azóta is tudom. Úgyhogy ma generáltattam két borzalmas hosszú és lehetetlen passt, felírtam papírra (itthon vagyok, nyugi :)), és két helyre megadtam. Mivel nagyon hosszúak, 1-2 hét is lehet, mire megjegyzem, de a 8 karakteres élmény alapján csak gyakorolni kell.

Nyilván a legegyszerűbb lenne ezeket a hosszúakat keepassx-ben tárolni, de meg akarom jegyezni őket, hátha máshol is kell loginolni velük (itt most mindegy, hogy ez bwin, bank, a home serverem, vagy pistike pokémon-fóruma).

Legyen az egyszerűség kedvéért a 8 karakteres jelszavam 1234, a sokkarakteres pedig abcd. Ha összekombózom 12a3bcd4 formátumba (tehát karaktersorrendet tartva random módon összefésülöm őket, ami megjegyezhető az eredeti stringek ismeretében), akkor az mekkora security hole?

( lzrd | 2010. 04. 27., k – 14:30 )

rRE/nAy.rA.ds
--
unix -- több, mint kód. filozófia.
Life is feudal

( Husi | 2010. 04. 27., k – 14:59 )

NWJHYtX98g2y6

--------------------------------------------------------
„Az Univerzum már elég nagy és öreg ahhoz, hogy egy fél óráig vigyázzon magára.”

A windows az bármire képes, akár még mûködni is....
--------------------------------------------------------

( BaBoKa | 2010. 04. 27., k – 18:25 )

FuXnpcx6Vuuqs

Ha ismered a Slackware-t, ismered a Linuxot.

( hrgy84 | 2010. 04. 27., k – 22:11 )

Nesze:
tIxF7DHZxHi42

-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

( Replaced | 2010. 04. 28., sze – 11:37 )

a SHA-2 kodolasu jelszavamat nem vallalod? :-)

--
NetBSD - Simplicity is prerequisite for reliability

minek? ez egy mpi teszt lesz, es hamar teszt, erdekesre faragva. Masok mersenne-primeket keresnek, megtobben semmire sem jo szintetikus teszteket futtatnak, a legeslegtobben meg nem tesztelnek, es az eles uzemben esnek ki a hibak.

Egyebkent a brute-force jelszokeresesi technikakban a des/md5/SHA-2 csak linearis sebessegi osszetevo, es mint ilyen gyakorlatilag nem szamit, a jelszo hossza viszont exponencialis sebessegi osszetevo, es mint ilyen alapvetoen fontos.
A tradicionalis unixos /etc/passwd, crypt() jellegu megoldasnak (amire most ez a toro verseny megy) nem a des a baja, hanem a max8 karakter, es a publikus olvashatosag.
Konkretan ugyan a mai linuxok tobbsege nem igy tarolja es hasznalja a jelszot, de rengeteg helyen meg a mai napig ez igy megy, gondolj csak a .htaccess file-ra.

( andrewjsi | 2010. 04. 28., sze – 12:25 )

ofgaTTXsVr73Q
rqeWAlyvJrOiU

Köszi!

( egeresz | 2010. 04. 29., cs – 16:15 )

lezarva.
most osszeszedtem amit ide beirtatok.
69 jelszo. (koszonom!)
es inditom megprobalkozok a program inditasaval

Abban az esetben, ha engedélyezem, hogy az általam feltöltött jelszó plaintext formáját publikáld, akkor eleget tennél a kérésnek? Személy szerint kiváncsi vagyok, hogy valóban azt a jelszót találtad e meg amit én megadtam, vagy egy másik jelszó, aminek ugyan ez lett a hash-e.
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

Nem.. Anno vizsgáltam a lehetőségét, hogy ez milyen körülmények között jöhet létre, és milyen gyakorisággal és ilyen kiskarakterszámú kódolt jelszónál viszonylag nagy valószínűsége van.. Épp ezért vagyok kíváncsi, hogy mekkora az esélye, hogy a 8 karakteres tartományban egy hasonló bukkanjon fel. Nem hinném, hogy nagy, de attól még érdekel..
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

ez hogy jön ide? azon kívül hogy olyan dolgot nem egy dologhoz keresünk egy másikat hanem két dolgot futtathatunk és azok valamilyen egyezősége találat? igen, hogy az összes hash között mennyi egyezőség van akár számíthat de a hash típusa kell ehhez elsődlegesen, pl ha csak permutálja a biteket nem lesz két azonos, ha pedig mod2 a hash akkor két kupac lesz.. bár most meg nem mondom hogy a des algebrailag zárt-e, gondolom nem az

ha valahol máshol más fajta hash-el tudna eredményt elérni akkor akár jól jöhet hogy nem sikerült ugyanazt a jelszót visszanyerni

egyébként pedig tipikusan mivel ugye az ember nem teljesen véletlen jelszót használ a többi jelszó aminek meg megegyezik a hash-e igen valószínűen a véletlen kategóriába tartozik ahhoz képest hogy a törés a nem véletlenséget használja ki, nem valószínű hogy másikat találna

( egeresz | 2010. 04. 30., p – 11:26 )

jelenleg a gep cpu stuckol, igy nehezen fut le, kuzdok vele, halasztodik az eredmeny publikalas.

kozeledik a vege, de onkenyesen meghosszabbitottam a szamolasi idot (volt egy-ket menet kozben megtapasztalt nem vart leallas)

A jelszokereses (kulcskereses, kodolasfeltores stb) elvileg masszivan parhuzamosithato problema, vagyis a kommunikacios igeny elhanyagolhato a szamitasi igenyhez kepest. Emiatt nem csak 720 szalra lehet parhuzamositani, hanem akar milliora is, csak legyen eleg cpu.
Viszont ez a massziv parhuzamositas a leheto legegyszerubb nevter bejarasra vonatkozik, amikor ABC rendben vegigprobalja a gep a lehetseges kulcsokat. Az egyik gep A-tol, a masik gep B-tol kezdi, nem kell ezen tul sokat kommunikalni.

A john-the-ripper egyik nagy elonye, hogy nem ABC rendben jarja vegig a lehetseges kulcsteret, hanem elobb a valoszinubb kombinaciokat probalja ki. Ehez rengeteg tapasztalatot zsufoltak bele a fejlesztok, hogy a felhasznalok altalaban milyen jelszavakat szoktak hasznalni. Van neki egy szotarja, azt probalja vegig, majd a szotar elemeinek paros, 3-as kombinaciojat, majd ugyanezeket kombinalva szamokkal, nagy kezdobetukkel, stb. Ez egy eros heurisztikaval megtamogatott kulcster-bejaras. Ezt az eros heurisztikaval megtamagott bejarasi modot nem olyan egyszeru parhuzamositani, nincs is ra parhuzamos megoldas.

Emiatt egy szalon elinditottam a john-the-rippert default konfiggal. ezzel eguidoben 704 szalon egy teljes bejarast az 1 karakteres jelszavaktol a 8 karakteresekig. (kisbetu, nagybetu, szam, osszes specialis karakter). A teljes bejaras meresem szerint 2200 napig tartana. Ez futott 1,2,3,4,5 karakteres jelszavakig. A 6 karekteres jelszavakra kisbetu-nagybetu-szam kombinacioit probaltam ki, a 7 es 8 betus jelszavakra csak a kisbetu kombinaciokat fogom vegigprobalni. Ez egy nagyon durva heurisztika, amivel a teljes bejarashoz szukseges 2200 napot cca 2 napra roviditem, de pontosan tudom, hogy mit hagyok ki. Nem fog a cucc megtalalni egyetlen egy 7 vagy 8 karakteres jelszot sem, amit az egyszalu (otthon is futtathato) john ne talalna meg, es van benne nagybeto esvagy szam.

Mindezt nem tudtam ezelott 6 nappal, nem vagyok security expert, HPC-t epitek ;-)

Ne várj sokat.. Ahogy nézem nem a teljes kulcsteret scanneli, hanem a tipikusat.. Akinek meg volt esze szerintem véletlenül se adott meg tipikus jelszót..
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..