Latest Security News

Show All

יש לנו פיצוח!! ----more on passwords cracking




השנה האחרונה היתה עמוסה כרימון בדליפת מסדי נתונים המכילים ססמאות .

אתרי ענק כגון לינקדאין ורוק יו הותקפו בדרך כלל דרך הזרקת SQL וחשפו מיליוני סיסמאות משתמשים , חלקם מוצפנים (HASH) ו\חלקם לא .
חשיפה גדולה כזו של סיסמאות " עולם אמיתי" ,מעבר לשיקוף של מצב אבטחתי עגום של חברות גדולות במשק- מאפשר מחקר סטאטיסטי  וניתוח תבניות של בחירת סיסמאות ע"י המשתמשים ( ותתפלאו לדעת כמה אנחנו לא מקוריים בעליל..).

מחקר כזה נערך ע"י חברת kore logic security . החברה מנהלת תחרויות לפיצוח ססמאות ומפרסמת את שיטות הפיצוח הכוללות: הבנות סטאטיסטיות,רשימות מילים נפוצות , תבניות ( RULES) עבור john the ripper וכן את דירוג כלי הפריצה המומלצים לפי תוצאות התחרויות.

אנקדוטה קטנה שרציתי להתעקב עליה מדברת על כלי שלא היה ידוע לי בשם HASH CAT הכולל גם גרסת GUI .
 היחודיות של כלי זה מעבר לנוחות שלו הוא השימוש ב GPU ( כרטיסים גראפים) לביצוע פעולות הפיצוח - תומך עד שירשור של 120 כרטיסים !!! - הכלי הזה הוא גם בדרך כלל המנצח הגדול בתחריות פיצוח ססמאות הנערכות ב DEFCON  ע"י kore logic security .

ממליץ לקרא את המחקר ולהוריד את רשימת המילים.

אז מה ההאקרים למדו והפכו לתבניות פריצה לססיסמא :

חוקים קימים במנוע החוקים של john the ripper:

  1. הוספת מספרים בסוף הססמה
  2. אות גדולה בתחילת כל מילה
  3. הוספת ! לסיום מילה עם תחיליות אות גדולה
  4. הוספת 123 בתחילה או בסוף הססמה.
  5. וריאציות על שם המשתמש ( הוספת סימנים מיוחדים,מספרים וכו)
חוקים מורחבים שהוספו ע"י kore logic:
  1. 4 אותיות+4מספרים  או 5 אותיות +3 מספרים או 3 אותיות +5 מספרים. Nove2010  Fall2010
  2. הוספת 1234 בססמא בתחילתה או בסופה. - 1234pass  !QAZ1234
  3. שימוש בשנה הנוכחית כמספר בתוך הססמה -!Jan2012   2012!!   Work2012aha
  4. שימוש בשנה נוכחית או קודמת כמספר + סימן מיוחד  2010ly!!   2001MARK2010!!   2010#dec 
  5. חודשים וימים בתחילת באמצע או בסוף הססמא--January!2006  March#16  OctO2008$ Octo2**9   Octob!!05 Friday.56  Thursday99=
  6. הוספת סימנים מיוחדים בסוף הססמה או בהתחלת !1q1q1q1q !! -FRANCE#  BonJovi@ 
  7. תוספת סימנים מיוחדים בצורה " מיוחדת" Africa!1   AmyOct!1   Kar!dani1 T@Y!OR1  b@byg!r1  Amanda!1  A!lison1   We!come1 S!LVER1  Amelia7!1
  8. תבניות אצבעות - משתמשים אוהבים מאד להשתמש בססמאות לפי סידור המקשים במקלדת דוגמא:
    1. !1234qwe   !@#$QWE ASDFqwer !QWERTY  NHY^5tgb
  9. מילים הקשורות לסביבות פיתוח פרוד או בדיקות-Prod!111  prod@123 TEST-CO   test!ng

רשימות מילים להם הצלחה טובה ( ניתן להוריד מהאתר שלהם):


Seasons - Months - Years - First Names - Last Names - Cities - States -
Regions - Countries - "RockYou" List - Regions of India/China/USA -
Religious references (books of the Bible, lists of Gods, etc) - keyboard
combinations - 4 letter words - 5 letter words - 6 letter words - 7 letter
words - Sports Teams - Colleges - Client specific words - Dates -
Numbers - Common wordlists – Facebook Names List (‘fbnames’)

מסקנה אחת גורפת:

  1. סיבוך ססמאות ( password complexity ) לא גורמות למשתמש לבחור ססמאות "טובות יותר" אלא מכריכות את המשתמש להשתמש בטריקים או תבניות . תבניות אלו קל לצפות ולפצח בזמן קצר.
  2. סיסמאות גישה באינטרנט עוד פחות מבאובטחות וקלות לפריצה מזו של פנים תאגידים 
  3. יש לעבור ל 2 factor authentication  ככל הניתן (google,yahoo etc)
  4. תאגידים- ללמוד את התבניות הנפוצות בארגון ולהגביל באמצעים טכניים ( כן כן - נסו לפצח ססמאות של העובדים שלכם -))












פורסם על ידי
תוויות: , , ,