• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Passord - fremdeles den store synderen?
 

Passord - fremdeles den store synderen?

on

  • 1,985 views

Dette er min presentasjon fra ISF Norge sin høstkonferanse i Larvik, 29-31 august, 2011. Stikkord er passord, hash- og krypteringsalgoritmer, statistikk, svakheter og tips til hvordan passord bør ...

Dette er min presentasjon fra ISF Norge sin høstkonferanse i Larvik, 29-31 august, 2011. Stikkord er passord, hash- og krypteringsalgoritmer, statistikk, svakheter og tips til hvordan passord bør lagres og sendes over nett.

Statistics

Views

Total Views
1,985
Views on SlideShare
1,981
Embed Views
4

Actions

Likes
0
Downloads
2
Comments
0

1 Embed 4

http://www.linkedin.com 4

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

CC Attribution-ShareAlike LicenseCC Attribution-ShareAlike License

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Passord - fremdeles den store synderen? Passord - fremdeles den store synderen? Presentation Transcript

    • Passord:fremdeles den store synderen?
      Per Thorsheim
      CISA, CISM, CISSP-ISSAP
      @thorsheim #passwords #ISF_NO
      EDB Ergogroup
    • ”Sikkerhetstenketanken”
      • Vi er 10 stk i Bergen som møtes jevnlig til ”Mat & Prat”
      • Ulik bakgrunn, kompetanse og stillinger
      • Målsetning: gi fornuftige råd om sikkerhet
      • Alt vi sier, skriver og gjør er på egen regning & ansvar
      Oddbjørn
      Thomas
      Per
      Erlend
      Lars Erik
      Per-Arne
      Terje
      Alexander
      Jan Fredrik
      Thomas
    • Xkcd 936
    • NIST SP800-63
      Bilde fra: Reusablesec.blogspot.com
      Mer lesestoff: http://en.wikipedia.org/wiki/Password_strength
    • Første varsel
      Mottatt pr mail:
    • Er du kunde her?
      Da bør du:
      Klage på dårlig sikkerhet
      Skift passord til noe helt unikt
    • Passord: Angrepsvektorer
    • Angrepsvektorer (OWASP 10)
      A1: InjectionA2: Cross-Site Scripting (XSS)
      A3: Broken Authentication and Session Management
      A4: InsecureDirectObjectReferences
      A5: Cross-SiteRequestForgery (CSRF)
      A6: Security Misconfiguration
      A7: InsecureCryptographicStorage
      A8: Failure to Restrict URL Access
      A9: Insufficient Transport LayerProtection
      A10: UnvalidatedRedirects and Forwards
      Mangelfull input kontroll
      Dårlig konfigurasjon
      Hashing / kryptering
      SSL/TLS
      https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
    • Tyvegods på avveie:
      Skjermbilde fra pastebin.com
    • Tyvegods på avveie:
      Skjermbilde fra paste2.org
    • Tyvegods på avveie:
      Skjermbilde fra forum hos insidepro.com
      Merk: InsidePro er et legitimt selskap!
    • Hva er ditt passord?
    • Lengthdistribution
      Minimum lengthrequirement
    • Per PositionEntropy – LM/NTLM
      LM (non-case sensitive)
      NTLM (Case Sensitive)
    • # UniqueCharacters (NTLM)
    • Password formats (NTLM)
    • Passordknekking
    • Offline passordknekking
      En rekke verktøy og teknikker er tilgjengelig
      Rainbowtables
      Ordliste angrep
      Ulike typer hybride og logiske angrep
      Bruteforce (Rå makt!)
      Og glem ikke: jeg har tiden på min side!
      (hvor ofte skifter du passord på nettsider?)
    • RainbowTables (wikipedia)
      A rainbow table is a precomputed table for reversing cryptographic hash functions, usually for cracking password hashes. Tables are usually used in recovering the plaintext password, up to a certain length consisting of a limited set of characters. It is a form of time-memory tradeoff, using less CPU at the cost of more storage. Proper key derivation functions employ salt to make this attack infeasible. Rainbow tables are a refinement of an earlier, simpler algorithm by Martin Hellman that used the inversion of hashes by looking up precomputed hash chains.
    • Freerainbowtables.com
      LM_cp437-850_1-7
      Dekker lengde 1-14
      566Gb (1400+ filer), med følgende tegnsett:
    • Freerainbowtables.com
      A
      ugust
      20
      11
      2 lowercase
      or 2 digits
      or mix
      5 lowercase
      1-3 digits
      1
      Uppercase
    • Lastpass.com
      Source: http://blog.lastpass.com/2011/05/lastpass-security-notification.html
    • Thomas Ptacek
      Enough With The RainbowTables: WhatYouNeed To KnowAboutSecurePasswordSchemes
      http://chargen.matasano.com/chargen/2007/9/7/enough-with-the-rainbow-tables-what-you-need-to-know-about-s.html
    • Chris Lyon
      “SHA-512 w/ per User Salts is Not Enough”
      http://cslyon.net/2011/05/10/sha-512-w-per-user-salts-is-not-enough/
    • Anbefalinger
    • NorSIS / Nettvett
      X
    • Passord tips til sluttbruker
      Glem passord. Glem passfraser.
      Bruk en setning.
      Endre ved behov.
    • Min / maks lengde
      Kompleksitetskrav
      Passordhistorikk
      Endringsfrekvens
      Reautentisering
      Single Sign-On?
      Glemt passord
      Max lenge 255
      Nei (bruk lengde!)
      Ja, i tilfelle krise
      LAAAAAAAAAAANG!
      Lite brukervennlig
      GoogleAuthenticator
      Out-of-Band
      Policy / teknisk implementering
    • Glemt passord?
      Brukernavn, passord, URL (systemnavn/IP)
      Bruk 2 kanaler, for eksempel mail og SMS
      Bare send det brukeren ber om
      Bruk minst eksponert kanal for passord (sms)
    • KISS
      KeepIt Simple, Stupid!
    • Mer informasjon (video, ppt)
      http://ftp.ii.uib.no/pub/
      finse2011 (NISNET vinterskole 2011)
      Passwords10
      Passwords11
      http://en.wikipedia.org/wiki/Password_strength
      Blogg: securitynirvana.blogspot.com
      Twitter: @thorsheim
    • Takk for meg!
      Per Thorsheim
      Tlf. 90 999 259
      per.thorsheim@edb.com
      Linkedin.com/in/thorsheim
      Securitynirvana.blogspot.com
      Twitter: @thorsheim