Prezentacja o bezpieczeństwie haseł, Politechnika Śląska, Gliwice, 05.04.2017.
O bezpieczeństwo w sieci musisz zadbać sam — w szczególności w kontekście bezpieczeństwa haseł. W ramach wykładów pokazuję w jaki sposób dochodzi do wycieków wrażliwych danych z serwisów, jakimi narzędziami i metodami posługują się cyberprzestępcy oraz o tym, jak wygląda praca pentestera w Future Processing.
1. ZNAM TWOJE
HASŁA
I co z tym zrobisz?
Wersja 1. (2017-04)
Adrian `Vizzdoom` Michalczyk
Wszystkieprawazastrzeżone
Link doprezentacji:
http://adrian.michalczyk.website/znam-twoje-hasla
Rysunki, loga, nazwy firmowe/towarów należą/są zastrzeżone przez ich właścicieli i zostały użyte w celach informacyjnych.
2. O MNIE
Adrian „Vizzdoom” Michalczyk
Starszy inżynier ds. bezpieczeństwa
Future Processing Sp. z o.o.
Pentester, full-stack developer, pisarz…
„HackArt” Adrian Michalczyk
Amator papierowych RPGów, postapo,
fotografii i gier wideo
vizzdoom@gmail.com http://adrian.michalczyk.website
3. WIDZIAŁEM MILIONY
• 2 476 431 haseł (i skrótów haseł) z polskich stron
• i... 65 milionów z serwisów zagranicznych
• ~85% z nich zostało złamanych
9. HASŁO STATYCZNE („CO WIEM”)
• najpopularniejsza metoda uwierzytelniania
• krótki ciąg znaków, często wymyślany przez użytkownika
• charakterystyczny ciąg, łatwy do przejęcia
• może zostać zmienione, blokując dostęp do usługi
34. LEGALNE ZDOBYWANIE HASEŁ
• Google, Bing, Shodan…
• obserwacja for hackerskich (głównie w Torze)
• nie udostępniaj danych dalej (Torrent!)
• nie włamuj się, nie szantażuj, nie sprawdzaj maila koleżanki
35. MOŻE JA TO PO PROSTU ZOSTAWIĘ TUTAJ…
• http://www.adeptus-mechanicus.com/
codex/hashpass/hashpass.php – kilka fajnych baz i statystyk
• https://forum.insidepro.com – czy pomożesz odzyskać hasło?
• https://haveibeenpwned.com – czy Twoje dane wyciekły?
37. MD5
SHA
Funkcje dedykowane
dla skrótów haseł
KORZYSTAJ Z DEDYKOWANYCH FUNKCJI
Funkcje do sprawdzania
integralności danych
BCRYPT
PBKDF2
szybkie,
ale szybkość to twój wróg
dynamiczna funkcja kosztu, sól,
przeciwdziałanie „crackowaniu”
41. NIGDY NIE WIESZ, KIEDY STRACISZ HASŁO
• używaj unikatowych haseł (oraz loginów)
• używaj skomplikowanych haseł
• włącz dodatkowe mechanizmy obrony (np. 2FA)
• nie ufaj bezgranicznie nawet menadżerowi haseł
• nie myśl „jakoś to będzie” (na to liczą przestępcy!)
42. SECURITY W FUTURE PROCESSING
• tworzenie bezpiecznej architektury
• audyty kodu źródłowego
• testy penetracyjne (WWW, mobile, sieci)
• doradztwo specjalistyczne
43. OFERTA PRACY/STAŻU DLA „BEZPIECZNIKA IT”
• realny rozwój umiejętności (mentoring)
• nowoczesne biuro w Gliwicach
• stabilność zatrudnienia
• benefity pracownicze
• praca z najlepszymi fachowcami
44. DOŁĄCZ DO ZESPOŁU SECURITY
https://www.future-processing.pl/job_offer/security-engineer
https://www.future-processing.pl/kariera/praktyki
Szukamy ludzi z podstawowym doświadczeniem w IT SECURITY!
Dołącz do nas wypełniając formularz z dopiskiem event security vizz