Passord - fremdeles den store synderen?

Passord:fremdeles den store synderen?
Per Thorsheim
CISA, CISM, CISSP-ISSAP
@thorsheim #passwords #ISF_NO
EDB Ergogroup

”Sikkerhetstenketanken”
Vi er 10 stk i Bergen som møtes jevnlig til ”Mat & Prat”
Ulik bakgrunn, kompetanse og stillinger
Målsetning: gi fornuftige råd om sikkerhet
Alt vi sier, skriver og gjør er på egen regning & ansvar
Oddbjørn
Thomas
Per
Erlend
Lars Erik
Per-Arne
Terje
Alexander
Jan Fredrik
Thomas

Xkcd 936

NIST SP800-63
Bilde fra: Reusablesec.blogspot.com
Mer lesestoff: http://en.wikipedia.org/wiki/Password_strength

Første varsel
Mottatt pr mail:

Er du kunde her?
Da bør du:
Klage på dårlig sikkerhet
Skift passord til noe helt unikt

Passord: Angrepsvektorer

Angrepsvektorer (OWASP 10)
A1: InjectionA2: Cross-Site Scripting (XSS)
A3: Broken Authentication and Session Management
A4: InsecureDirectObjectReferences
A5: Cross-SiteRequestForgery (CSRF)
A6: Security Misconfiguration
A7: InsecureCryptographicStorage
A8: Failure to Restrict URL Access
A9: Insufficient Transport LayerProtection
A10: UnvalidatedRedirects and Forwards
Mangelfull input kontroll
Dårlig konfigurasjon
Hashing / kryptering
SSL/TLS
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

Tyvegods på avveie:
Skjermbilde fra pastebin.com

Skjermbilde fra paste2.org

Skjermbilde fra forum hos insidepro.com
Merk: InsidePro er et legitimt selskap!

Hva er ditt passord?

Lengthdistribution
Minimum lengthrequirement

Per PositionEntropy – LM/NTLM
LM (non-case sensitive)
NTLM (Case Sensitive)

# UniqueCharacters (NTLM)

Password formats (NTLM)

Passordknekking

Offline passordknekking
En rekke verktøy og teknikker er tilgjengelig
Rainbowtables
Ordliste angrep
Ulike typer hybride og logiske angrep
Bruteforce (Rå makt!)
Og glem ikke: jeg har tiden på min side!
(hvor ofte skifter du passord på nettsider?)

RainbowTables (wikipedia)
A rainbow table is a precomputed table for reversing cryptographic hash functions, usually for cracking password hashes. Tables are usually used in recovering the plaintext password, up to a certain length consisting of a limited set of characters. It is a form of time-memory tradeoff, using less CPU at the cost of more storage. Proper key derivation functions employ salt to make this attack infeasible. Rainbow tables are a refinement of an earlier, simpler algorithm by Martin Hellman that used the inversion of hashes by looking up precomputed hash chains.

Freerainbowtables.com
LM_cp437-850_1-7
Dekker lengde 1-14
566Gb (1400+ filer), med følgende tegnsett:

Freerainbowtables.com
A
ugust
20
11
2 lowercase
or 2 digits
or mix
5 lowercase
1-3 digits
1
Uppercase

Lastpass.com
Source: http://blog.lastpass.com/2011/05/lastpass-security-notification.html

Thomas Ptacek
Enough With The RainbowTables: WhatYouNeed To KnowAboutSecurePasswordSchemes
http://chargen.matasano.com/chargen/2007/9/7/enough-with-the-rainbow-tables-what-you-need-to-know-about-s.html

Chris Lyon
“SHA-512 w/ per User Salts is Not Enough”
http://cslyon.net/2011/05/10/sha-512-w-per-user-salts-is-not-enough/

Anbefalinger

NorSIS / Nettvett
X

Passord tips til sluttbruker
Glem passord. Glem passfraser.
Bruk en setning.
Endre ved behov.

Min / maks lengde
Kompleksitetskrav
Passordhistorikk
Endringsfrekvens
Reautentisering
Single Sign-On?
Glemt passord
Max lenge 255
Nei (bruk lengde!)
Ja, i tilfelle krise
LAAAAAAAAAAANG!
Lite brukervennlig
GoogleAuthenticator
Out-of-Band
Policy / teknisk implementering

Glemt passord?
Brukernavn, passord, URL (systemnavn/IP)
Bruk 2 kanaler, for eksempel mail og SMS
Bare send det brukeren ber om
Bruk minst eksponert kanal for passord (sms)

KISS
KeepIt Simple, Stupid!

Mer informasjon (video, ppt)
http://ftp.ii.uib.no/pub/
finse2011 (NISNET vinterskole 2011)
Passwords10
Passwords11
http://en.wikipedia.org/wiki/Password_strength
Blogg: securitynirvana.blogspot.com
Twitter: @thorsheim

Takk for meg!
Per Thorsheim
Tlf. 90 999 259
per.thorsheim@edb.com
Linkedin.com/in/thorsheim
Securitynirvana.blogspot.com
Twitter: @thorsheim

Passord - fremdeles den store synderen?

by Per Thorsheim on Sep 01, 2011

Accessibility

Categories

Tags

Upload Details

Usage Rights

Statistics

Passord - fremdeles den store synderen? — Presentation Transcript