Passord - fremdeles den store synderen?
Upcoming SlideShare
Loading in...5
×
 

Passord - fremdeles den store synderen?

on

  • 2,125 views

Dette er min presentasjon fra ISF Norge sin høstkonferanse i Larvik, 29-31 august, 2011. Stikkord er passord, hash- og krypteringsalgoritmer, statistikk, svakheter og tips til hvordan passord bør ...

Dette er min presentasjon fra ISF Norge sin høstkonferanse i Larvik, 29-31 august, 2011. Stikkord er passord, hash- og krypteringsalgoritmer, statistikk, svakheter og tips til hvordan passord bør lagres og sendes over nett.

Statistics

Views

Total Views
2,125
Views on SlideShare
2,117
Embed Views
8

Actions

Likes
0
Downloads
2
Comments
0

2 Embeds 8

http://www.linkedin.com 4
https://twitter.com 4

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

CC Attribution-ShareAlike LicenseCC Attribution-ShareAlike License

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Passord - fremdeles den store synderen? Passord - fremdeles den store synderen? Presentation Transcript

  • Passord:fremdeles den store synderen?
    Per Thorsheim
    CISA, CISM, CISSP-ISSAP
    @thorsheim #passwords #ISF_NO
    EDB Ergogroup
  • ”Sikkerhetstenketanken”
    • Vi er 10 stk i Bergen som møtes jevnlig til ”Mat & Prat”
    • Ulik bakgrunn, kompetanse og stillinger
    • Målsetning: gi fornuftige råd om sikkerhet
    • Alt vi sier, skriver og gjør er på egen regning & ansvar
    Oddbjørn
    Thomas
    Per
    Erlend
    Lars Erik
    Per-Arne
    Terje
    Alexander
    Jan Fredrik
    Thomas
  • Xkcd 936
  • NIST SP800-63
    Bilde fra: Reusablesec.blogspot.com
    Mer lesestoff: http://en.wikipedia.org/wiki/Password_strength
  • Første varsel
    Mottatt pr mail:
  • Er du kunde her?
    Da bør du:
    Klage på dårlig sikkerhet
    Skift passord til noe helt unikt
  • Passord: Angrepsvektorer
  • Angrepsvektorer (OWASP 10)
    A1: InjectionA2: Cross-Site Scripting (XSS)
    A3: Broken Authentication and Session Management
    A4: InsecureDirectObjectReferences
    A5: Cross-SiteRequestForgery (CSRF)
    A6: Security Misconfiguration
    A7: InsecureCryptographicStorage
    A8: Failure to Restrict URL Access
    A9: Insufficient Transport LayerProtection
    A10: UnvalidatedRedirects and Forwards
    Mangelfull input kontroll
    Dårlig konfigurasjon
    Hashing / kryptering
    SSL/TLS
    https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
  • Tyvegods på avveie:
    Skjermbilde fra pastebin.com
  • Tyvegods på avveie:
    Skjermbilde fra paste2.org
  • Tyvegods på avveie:
    Skjermbilde fra forum hos insidepro.com
    Merk: InsidePro er et legitimt selskap!
  • Hva er ditt passord?
  • Lengthdistribution
    Minimum lengthrequirement
  • Per PositionEntropy – LM/NTLM
    LM (non-case sensitive)
    NTLM (Case Sensitive)
  • # UniqueCharacters (NTLM)
  • Password formats (NTLM)
  • Passordknekking
  • Offline passordknekking
    En rekke verktøy og teknikker er tilgjengelig
    Rainbowtables
    Ordliste angrep
    Ulike typer hybride og logiske angrep
    Bruteforce (Rå makt!)
    Og glem ikke: jeg har tiden på min side!
    (hvor ofte skifter du passord på nettsider?)
  • RainbowTables (wikipedia)
    A rainbow table is a precomputed table for reversing cryptographic hash functions, usually for cracking password hashes. Tables are usually used in recovering the plaintext password, up to a certain length consisting of a limited set of characters. It is a form of time-memory tradeoff, using less CPU at the cost of more storage. Proper key derivation functions employ salt to make this attack infeasible. Rainbow tables are a refinement of an earlier, simpler algorithm by Martin Hellman that used the inversion of hashes by looking up precomputed hash chains.
  • Freerainbowtables.com
    LM_cp437-850_1-7
    Dekker lengde 1-14
    566Gb (1400+ filer), med følgende tegnsett:
  • Freerainbowtables.com
    A
    ugust
    20
    11
    2 lowercase
    or 2 digits
    or mix
    5 lowercase
    1-3 digits
    1
    Uppercase
  • Lastpass.com
    Source: http://blog.lastpass.com/2011/05/lastpass-security-notification.html
  • Thomas Ptacek
    Enough With The RainbowTables: WhatYouNeed To KnowAboutSecurePasswordSchemes
    http://chargen.matasano.com/chargen/2007/9/7/enough-with-the-rainbow-tables-what-you-need-to-know-about-s.html
  • Chris Lyon
    “SHA-512 w/ per User Salts is Not Enough”
    http://cslyon.net/2011/05/10/sha-512-w-per-user-salts-is-not-enough/
  • Anbefalinger
  • NorSIS / Nettvett
    X
  • Passord tips til sluttbruker
    Glem passord. Glem passfraser.
    Bruk en setning.
    Endre ved behov.
  • Min / maks lengde
    Kompleksitetskrav
    Passordhistorikk
    Endringsfrekvens
    Reautentisering
    Single Sign-On?
    Glemt passord
    Max lenge 255
    Nei (bruk lengde!)
    Ja, i tilfelle krise
    LAAAAAAAAAAANG!
    Lite brukervennlig
    GoogleAuthenticator
    Out-of-Band
    Policy / teknisk implementering
  • Glemt passord?
    Brukernavn, passord, URL (systemnavn/IP)
    Bruk 2 kanaler, for eksempel mail og SMS
    Bare send det brukeren ber om
    Bruk minst eksponert kanal for passord (sms)
  • KISS
    KeepIt Simple, Stupid!
  • Mer informasjon (video, ppt)
    http://ftp.ii.uib.no/pub/
    finse2011 (NISNET vinterskole 2011)
    Passwords10
    Passwords11
    http://en.wikipedia.org/wiki/Password_strength
    Blogg: securitynirvana.blogspot.com
    Twitter: @thorsheim
  • Takk for meg!
    Per Thorsheim
    Tlf. 90 999 259
    per.thorsheim@edb.com
    Linkedin.com/in/thorsheim
    Securitynirvana.blogspot.com
    Twitter: @thorsheim