Wachtwoorden in Linux

602 views

Published on

Slides bij screencast http://youtu.be/1gmdMSNNo4I. Voor details, zie daar.

Published in: Education
  • Be the first to comment

  • Be the first to like this

Wachtwoorden in Linux

  1. 1. LinuxWachtwoorden in een Linux-systeembert.vanvreckem@hogent.be16/04/2013
  2. 2. 2Wachtwoorden● De situatie● Technieken● Hoe slaat Linux wachtwoorden op?● Aanbevelingen
  3. 3. 3De situatie● Criminele bendes stelen wachtwoorden● Botnets ontcijferen wachtwoorden op grote schaal● Wachtwoorden van slecht beveiligde sites wordengebruikt om op andere accounts in te breken– vb. homebanking, webshops● Vb. slachtoffers in 2012: LinkedIn, eHarmony,Twitter, Last.fm, gamigo, Yahoo!, Zappos, ...
  4. 4. 4Technieken● Online attack:– Op het systeem zelf proberen inloggen– Traag, valt op● Offline attack:– (Versleutelde) wachtwoorden proberen teontcijferen– Veel sneller, moeilijker te detecteren
  5. 5. 5Technieken voor offline● Brute force:– Één voor één alle mogelijkheden uitproberen– Traag, afh. lengte wachtwoord● Dictionary attack:– Met woordenboek, vaak gebruiktewachtwoorden– Soms bliksemsnel– http://fb.me/1zHx86hju
  6. 6. 6Technieken voor offline● Zoekruimte– Verzameling van alle mogelijke wachtwoorden– Bepaalt hoe snel aanval kan verlopen● Goed wachtwoord:– Grote zoekruimte– Dwingt aanvaller “brute force” attack uit tevoeren
  7. 7. 7Zoekruimte vergroten● In de lengte: langer wachtwoord kiezen:– a-z, lengte 1  26 mogelijkheden– a-z, lengte  2  26*26 + 26 = 702– ...● In de breedte: meer soorten karakters kiezen:– Hoofdletters + kleine letters + cijfers + “speciale” tekens– A-Za-z, lengte 1  52– A-Za-z, lengte  2  52*52 + 52 = 2756– ...● Controle-tool: https://www.grc.com/haystack.htm
  8. 8. 8Goede wachtwoorden kiezenhttp://xkcd.com/936/
  9. 9. 9Wachtwoorden opslaan● Wachtwoorden in “plaintext”– Dit gebeurt nog!● Gehashte wachtwoorden– Hash = algoritme dat data afbeeldt op bitreeks vanvaste lengte, werkt enkel in één richting– vb. MD-5, SHA-1, SHA-256, ...– Login controleren: ingevoerde wachtwoord hashen,vergelijken met hash in databank– vb. “letmein” in MD-5 0d107d09f5bbe40cade3de5c71e9e9b7
  10. 10. 10Wachtwoorden opslaan● Gehashte wachtwoorden– Probleem: “Rainbow tables”, woordenboekgeconverteerd naar hashes– Wachtwoorden HEEL snel ontcijferd● “Salting”– Random string plakken voor/achter te hashenwachtwoord– vb. wigNecAcletmein in MD-5 ba5ca21efb32bf714b3f23efdcb35bd2
  11. 11. 11Hoe slaat Linux wachtwoorden op?● /etc/shadow:user:pw:change:min:max:warn:inact:exp– user: gebruikersnaam– pw: versleuteld wachtwoord– change: datum laatste wijziging– min, max: min/max ouderdom wachtwoord– warn: aantal dagen voor max dat gebruiker waarschuwingenkrijgt– inact: aantal dagen na max dat gebruiker nog maginloggen, maar meteen wachtwoord moet wijzigen– exp: datum wanneer login uitgeschakeld werd
  12. 12. 12Hoe slaat Linux wachtwoorden op?● $algo$salt$hash– algo: type hash (hier “6” = SHA-512)– salt: hier “stypsyuDy” (niet versleuteld!)student:$6$stypsyuDy$psdJjM3Nofs1LcMfDfeZM7N5wtYWevkGnskVbOFYkLgfZZLYMmp6J7zDbAKe8.H29eOXOcEdWJH78YapppFVd0:15802:0:99999:7:::
  13. 13. 13Zelf wachtwoorden genereren● Ubuntu/Debian:– mkpasswd -m sha-512 PASSWD SALT● RedhHat/CentOS/Fedora:– python -c "import crypt, getpass, pwd;print crypt.crypt(PASSWD, $6$SALT$)"● Web tool:– https://www.mkpasswd.net/
  14. 14. 14Aanbevelingen● Gebruik wachtwoordzinnen (pass phrases) voor jebelangrijkste accounts– bv. in de “xkcd-stijl”● Gebruik uniek wachtwoord voor “losse” websites, ensla op in een password manager– bv. LastPass, 1Password, enz.● Two factor authentication– bv. Google account, LastPass● Controleer de kwaliteit van je wachtwoord– bv. GRC haystack app

×