Slidy z mé přednášky na WordCamp Brno 2018 - hesla, jejich získávání a crackování, vícefaktorová autentizace.

1. https://lynt.cz @smitka https://u.lynt.cz/wcb
Vláďa Smitka
vladimir.smitka@lynt.cz
@smitka
Lynt services s.r.o.
21. 10. 2018 1
Hesla a vícefaktorová
autentizace ve WP

2. https://lynt.cz @smitka https://u.lynt.cz/wcb
Hesla, hesla, hesla
• 20 - 80 tisíc pokusů za měsíc na jeden z větších
webů v naší správě
– https://github.com/lynt-smitka/WP-nginx-
config/blob/master/extras/mu-plugins/lynt-custom-login.php
– https://u.lynt.cz/htaccess#file-htaccess-examples-L64-L69
– https://u.lynt.cz/htaccess#file-htaccess-examples-L105-L108
• Credential Stuffing
– znovuvyužívání ukradených hesel
– https://www.akamai.com/uk/en/about/our-thinking/state-of-the-internet-
report/global-state-of-the-internet-security-ddos-attack-reports.jsp
21. 10. 2018 2

3. https://lynt.cz @smitka https://u.lynt.cz/wcb
Credential Stuffing
21. 10. 2018 3

4. https://lynt.cz @smitka https://u.lynt.cz/wcb21. 10. 2018 4
• LastPass
• 1Password
• Dashlane
• KeePass

5. https://lynt.cz @smitka https://u.lynt.cz/wcb
Ceník
Komodita Běžná cena na černém trhu
WordPress účet 1$
Facebook účet 3-6$
E-mail účet 1-4$
NetFlix účet 6-8$
Booking/AirBnB 3-6$
Ověřená kreditní karta 10% limitu
Kreditní/Debetní karta - pouze údaje 5-40$
PayPal účet 250$
100k českých e-mailových adres 3$
100k evropských e-mailových adres 1$
Kvalitní scan občanky/řidičáku 20$
Foto občanky/řidičáku (většinou 1 strana) 0,5$
21. 10. 2018 5

6. https://lynt.cz @smitka https://u.lynt.cz/wcb
Co s údaji?
• https://www.bbc.com/news/av/technology-
39589241/airbnb-account-hijackers-burgle-homes
• https://www.bbc.com/news/business-29942503
• https://www.thesun.co.uk/news/4985964/uber-
accounts-hacked-russia-data-moscow/
• https://www.cnet.com/how-to/your-hulu-or-netflix-
may-be-hacked-heres-what-to-do/
• https://www.theverge.com/2016/11/8/13561024/micr
osoft-skype-baidu-linkedin-hack
• https://www.deepdotweb.com/2018/01/26/german-
man-charged-stolen-paypal-accounts-fraud-scheme/
21. 10. 2018 6

7. https://lynt.cz @smitka https://u.lynt.cz/wcb
Kde najdu heslo?
21. 10. 2018 7

8. https://lynt.cz @smitka https://u.lynt.cz/wcb
Kde najdu heslo?
21. 10. 2018 8

9. https://lynt.cz @smitka https://u.lynt.cz/wcb
Kde najdu heslo?
21. 10. 2018 9

10. https://lynt.cz @smitka https://u.lynt.cz/wcb
Máte aktualizovaný router?
• https://routersecurity.org/bugs.php
• 03/2018 - Mikrotik, Chimay-Red - miliony zranitelných, v srpnu stále
370 00 bez opravy
• 05/2018 - VPNfilter - aktivní botnet 500 000 zařízení
• 05/2018 - miliony zranitelných routerů Dasan GPON (US), komplet
převzetí administrace
• 08/2018 - RCE ve wifi extenderech TP-link
• 10/2018 - GhostDNS, napadeno 100 000 routerů různých výrobců
• 10/2018 - Dlink kritické zranitelnosti v různých modelech + mnoho
neopravených starších + backdoor výrobce
21. 10. 2018 10

11. https://lynt.cz @smitka https://u.lynt.cz/wcb21. 10. 2018 11

12. https://lynt.cz @smitka https://u.lynt.cz/wcb
Kde najdu heslo?
21. 10. 2018 12

13. https://lynt.cz @smitka https://u.lynt.cz/wcb21. 10. 2018 13
S/MIME, PGP mail - složité pro uživatele
Řešení:
https://keybase.io/
Ukázka:
https://keybase.io/encrypt#smitka
Jednorázová sdílení:
Text: https://secure.lynt.cz/
Soubory: https://send.firefox.com/

14. https://lynt.cz @smitka https://u.lynt.cz/wcb
Kde najdu heslo?
• Únik WP DB
– Chyba v pluginu/šabloně - SQLi, LFI,…
– Uživatelem z pluginu pro PHP shortkód
– Nedostatečně izolované weby na hostingu
– Přístupná záloha, directory listing
– Dočasné soubory při úpravách na serveru (.wp-
config.php.swp)
21. 10. 2018 14

15. https://lynt.cz @smitka https://u.lynt.cz/wcb
Jak vypadá heslo ve WP?
21. 10. 2018 15

16. https://lynt.cz @smitka https://u.lynt.cz/wcb
Jak by mělo heslo vypadat ve WP?
21. 10. 2018 16

17. https://lynt.cz @smitka https://u.lynt.cz/wcb21. 10. 2018 17
$P$ = PHPASS
$P$512345678y78HANIxr0HorA.ARJV1y/
$2a$ = Bcrypt
$2a$10$<salt-22><hash-31>
Bcrypt ve WP:
https://github.com/lynt-smitka/WP-nginx-
config/blob/master/extras/mu-
plugins/lynt-enhancer.php
https://roots.io/plugins/bcrypt-password/

18. https://lynt.cz @smitka https://u.lynt.cz/wcb
Rychlost louskání
MD5 PHPASS BCRYPT
GTX1060 8x Tesla
V100 *
GTX1060 8x Tesla
V100 *
GTX1060 8x Tesla
V100 *
Hash/s 11446 M 442 G 3557 k 95 M 7610 435 k
8 znaků 18 s 0,5 s 16 hod 36 min 317 dní 6 dní
8 znaků
velká/malá
/čísla
5 hod 8 min 2 roky 26 dní 900 let 16 let
21. 10. 2018 18
* Google Cloud - 6$/hod
Podstatné zrychlení:
Písmena<19/20>##(!+*)

19. https://lynt.cz @smitka https://u.lynt.cz/wcb
Kde mé heslo uniklo?
• https://monitor.firefox.com/
• https://haveibeenpwned.com/
21. 10. 2018 19

20. https://lynt.cz @smitka https://u.lynt.cz/wcb
Jak detekovat únik?
• mall+vladimir.smitka@lynt.cz (Office 365 )
• Nastrčený uživatel se specifickým cracknutelným
heslem (pzq1xga) + Google/Pastebin/
– https://haveibeenpwned.com/Passwords (SHA-1)
• Analýza hesel z úniků (mall1234):
– https://www.lupa.cz/clanky/unik-dat-z-nevyhazujto-
cz/
21. 10. 2018 20

21. https://lynt.cz @smitka https://u.lynt.cz/wcb
Kde najdu heslo?
• Malware
– Klasický virus
– Mobilní aplikace
• https://thehackernews.com/2018/08/fortnite-android-app-apk.html
• https://thehackernews.com/2018/03/facebook-android-data.html
• https://www.svetandroida.cz/nahravac-hovoru-qrecorder-malware/
– Rozšíření do prohlížeče:
• https://www.theregister.co.uk/2017/08/02/chrome_web_developer_extension_hacked/
• https://www.digitaltrends.com/computing/mega-cloud-storages-chrome-extension-hacked-to-steal-
your-passwords/
• Keylogger
21. 10. 2018 21

22. https://lynt.cz @smitka https://u.lynt.cz/wcb21. 10. 2018 22
„Únik hesla hrozí každému z nás!“

23. https://lynt.cz @smitka https://u.lynt.cz/wcb21. 10. 2018 23
Multifaktorová autentizace
• Mobilní aplikace
• HW token (U2F, OTP)
• Biometrika (WebAuthn)
• (SMS)

24. https://lynt.cz @smitka https://u.lynt.cz/wcb
Kde lze MFA použít?
21. 10. 2018 24
https://cs.wordpress.org/plugins/two-factor/
+ mnoho dalších https://www.dongleauth.info

25. https://lynt.cz @smitka https://u.lynt.cz/wcb
Jak žít s MFA?
• Ideální kombinace
– 2x HW token (u PC + s sebou)
– Mobilní autentikátor jako záloha
– Jednorázová hesla uložená v Password Manageru
• Práce s HW tokeny je jednoduchá a pohodlná
21. 10. 2018 25

26. https://lynt.cz @smitka https://u.lynt.cz/wcb
Mobilní authentikátory
21. 10. 2018 26
Google Authenticator
+ u2f
- sync
FreeOTP
+ ikonky
- sync (root)
LastPass
+ sync (s LP účtem)
+ některé služby bez opisu
Authy
+ sync (s Authy účtem)
+ ikonky služeb
Yubico Authenticator
+/- uloženo na tokenu
+ ikonky služeb

27. https://lynt.cz @smitka https://u.lynt.cz/wcb
HW tokeny
• Yubico (CZ distribuce https://www.yubikey.cz/)
21. 10. 2018 27

28. https://lynt.cz @smitka https://u.lynt.cz/wcb
• Nitrokey
• Feitian
• DigiPass
• Fidesmo
21. 10. 2018 28
15$
25$
45$
17$

29. https://lynt.cz @smitka https://u.lynt.cz/wcb
Rozhraní
• USB
• NFC
– Android, Chrome + Google Auth.
• BLE
– Android, Chrome + Google Auth.
– IOS + podporovaná aplikace (Google Smart Lock)
21. 10. 2018 29

30. https://lynt.cz @smitka https://u.lynt.cz/wcb
2FA ve WP
• https://cs.wordpress.org/plugins/two-factor/
• Uživatelé -> Profil
21. 10. 2018 30

31. https://lynt.cz @smitka https://u.lynt.cz/wcb
Autentikátor
21. 10. 2018 31

32. https://lynt.cz @smitka https://u.lynt.cz/wcb
U2F (HW token)
21. 10. 2018 32

33. https://lynt.cz @smitka https://u.lynt.cz/wcb
Záložní kódy
21. 10. 2018 33

34. https://lynt.cz @smitka https://u.lynt.cz/wcb
Po přihlášení
21. 10. 2018 34

35. https://lynt.cz @smitka https://u.lynt.cz/wcb
Díky za pozornost
21. 10. 2018 35
Fluffy pracuje s hesly zodpovědně.
Buď jako Fluffy!
Tohle je Fluffy.