Passord - fremdeles den store synderen?

3,424 views

Published on

Dette er min presentasjon fra ISF Norge sin høstkonferanse i Larvik, 29-31 august, 2011. Stikkord er passord, hash- og krypteringsalgoritmer, statistikk, svakheter og tips til hvordan passord bør lagres og sendes over nett.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
3,424
On SlideShare
0
From Embeds
0
Number of Embeds
11
Actions
Shares
0
Downloads
6
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Passord - fremdeles den store synderen?

  1. 1. Passord:fremdeles den store synderen?<br />Per Thorsheim<br />CISA, CISM, CISSP-ISSAP<br />@thorsheim #passwords #ISF_NO<br />EDB Ergogroup<br />
  2. 2. ”Sikkerhetstenketanken”<br /><ul><li>Vi er 10 stk i Bergen som møtes jevnlig til ”Mat & Prat”
  3. 3. Ulik bakgrunn, kompetanse og stillinger
  4. 4. Målsetning: gi fornuftige råd om sikkerhet
  5. 5. Alt vi sier, skriver og gjør er på egen regning & ansvar</li></ul>Oddbjørn<br />Thomas<br />Per<br />Erlend<br />Lars Erik<br />Per-Arne<br />Terje<br />Alexander<br />Jan Fredrik<br />Thomas<br />
  6. 6. Xkcd 936<br />
  7. 7. NIST SP800-63<br />Bilde fra: Reusablesec.blogspot.com<br />Mer lesestoff: http://en.wikipedia.org/wiki/Password_strength<br />
  8. 8. Første varsel<br />Mottatt pr mail:<br />
  9. 9. Er du kunde her?<br />Da bør du:<br />Klage på dårlig sikkerhet<br />Skift passord til noe helt unikt<br />
  10. 10. Passord: Angrepsvektorer<br />
  11. 11. Angrepsvektorer (OWASP 10)<br />A1: InjectionA2: Cross-Site Scripting (XSS)<br />A3: Broken Authentication and Session Management<br />A4: InsecureDirectObjectReferences<br />A5: Cross-SiteRequestForgery (CSRF)<br />A6: Security Misconfiguration<br />A7: InsecureCryptographicStorage<br />A8: Failure to Restrict URL Access<br />A9: Insufficient Transport LayerProtection<br />A10: UnvalidatedRedirects and Forwards<br />Mangelfull input kontroll<br />Dårlig konfigurasjon<br />Hashing / kryptering<br />SSL/TLS<br />https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project<br />
  12. 12. Tyvegods på avveie:<br />Skjermbilde fra pastebin.com<br />
  13. 13. Tyvegods på avveie:<br />Skjermbilde fra paste2.org<br />
  14. 14. Tyvegods på avveie:<br />Skjermbilde fra forum hos insidepro.com<br />Merk: InsidePro er et legitimt selskap!<br />
  15. 15. Hva er ditt passord?<br />
  16. 16. Lengthdistribution<br />Minimum lengthrequirement<br />
  17. 17. Per PositionEntropy – LM/NTLM<br />LM (non-case sensitive)<br />NTLM (Case Sensitive)<br />
  18. 18. # UniqueCharacters (NTLM)<br />
  19. 19. Password formats (NTLM)<br />
  20. 20. Passordknekking<br />
  21. 21. Offline passordknekking<br />En rekke verktøy og teknikker er tilgjengelig<br />Rainbowtables<br />Ordliste angrep<br />Ulike typer hybride og logiske angrep<br />Bruteforce (Rå makt!)<br />Og glem ikke: jeg har tiden på min side!<br />(hvor ofte skifter du passord på nettsider?)<br />
  22. 22. RainbowTables (wikipedia)<br />A rainbow table is a precomputed table for reversing cryptographic hash functions, usually for cracking password hashes. Tables are usually used in recovering the plaintext password, up to a certain length consisting of a limited set of characters. It is a form of time-memory tradeoff, using less CPU at the cost of more storage. Proper key derivation functions employ salt to make this attack infeasible. Rainbow tables are a refinement of an earlier, simpler algorithm by Martin Hellman that used the inversion of hashes by looking up precomputed hash chains.<br />
  23. 23. Freerainbowtables.com<br />LM_cp437-850_1-7 <br />Dekker lengde 1-14 <br />566Gb (1400+ filer), med følgende tegnsett:<br />
  24. 24. Freerainbowtables.com<br />A<br />ugust<br />20<br />11<br />2 lowercase<br />or 2 digits<br />or mix<br />5 lowercase<br />1-3 digits<br />1<br />Uppercase<br />
  25. 25. Lastpass.com<br />Source: http://blog.lastpass.com/2011/05/lastpass-security-notification.html<br />
  26. 26. Thomas Ptacek<br />Enough With The RainbowTables: WhatYouNeed To KnowAboutSecurePasswordSchemes<br />http://chargen.matasano.com/chargen/2007/9/7/enough-with-the-rainbow-tables-what-you-need-to-know-about-s.html<br />
  27. 27. Chris Lyon<br />“SHA-512 w/ per User Salts is Not Enough”<br />http://cslyon.net/2011/05/10/sha-512-w-per-user-salts-is-not-enough/<br />
  28. 28. Anbefalinger<br />
  29. 29. NorSIS / Nettvett<br />X<br />
  30. 30. Passord tips til sluttbruker<br />Glem passord. Glem passfraser.<br />Bruk en setning.<br />Endre ved behov.<br />
  31. 31. Min / maks lengde<br />Kompleksitetskrav<br />Passordhistorikk<br />Endringsfrekvens<br />Reautentisering<br />Single Sign-On?<br />Glemt passord<br />Max lenge 255<br />Nei (bruk lengde!)<br />Ja, i tilfelle krise<br />LAAAAAAAAAAANG!<br />Lite brukervennlig<br />GoogleAuthenticator<br />Out-of-Band<br />Policy / teknisk implementering<br />
  32. 32. Glemt passord?<br />Brukernavn, passord, URL (systemnavn/IP)<br />Bruk 2 kanaler, for eksempel mail og SMS<br />Bare send det brukeren ber om<br />Bruk minst eksponert kanal for passord (sms)<br />
  33. 33. KISS<br />KeepIt Simple, Stupid!<br />
  34. 34. Mer informasjon (video, ppt)<br />http://ftp.ii.uib.no/pub/<br />finse2011 (NISNET vinterskole 2011)<br />Passwords10<br />Passwords11<br />http://en.wikipedia.org/wiki/Password_strength<br />Blogg: securitynirvana.blogspot.com<br />Twitter: @thorsheim<br />
  35. 35. Takk for meg!<br />Per Thorsheim<br />Tlf. 90 999 259<br />per.thorsheim@edb.com<br />Linkedin.com/in/thorsheim<br />Securitynirvana.blogspot.com<br />Twitter: @thorsheim<br />

×