Hesla a vícefaktorová autentizace ve WP

1. https://lynt.cz @smitka https://u.lynt.cz/wcb Vláďa Smitka vladimir.smitka@lynt.cz @smitka Lynt services s.r.o. 21. 10. 2018 1 Hesla a vícefaktorová autentizace ve WP

2. https://lynt.cz @smitka https://u.lynt.cz/wcb Hesla, hesla, hesla • 20 - 80 tisíc pokusů za měsíc na jeden z větších webů v naší správě – https://github.com/lynt-smitka/WP-nginx- config/blob/master/extras/mu-plugins/lynt-custom-login.php – https://u.lynt.cz/htaccess#file-htaccess-examples-L64-L69 – https://u.lynt.cz/htaccess#file-htaccess-examples-L105-L108 • Credential Stuffing – znovuvyužívání ukradených hesel – https://www.akamai.com/uk/en/about/our-thinking/state-of-the-internet- report/global-state-of-the-internet-security-ddos-attack-reports.jsp 21. 10. 2018 2

3. https://lynt.cz @smitka https://u.lynt.cz/wcb Credential Stuffing 21. 10. 2018 3

4. https://lynt.cz @smitka https://u.lynt.cz/wcb21. 10. 2018 4 • LastPass • 1Password • Dashlane • KeePass

5. https://lynt.cz @smitka https://u.lynt.cz/wcb Ceník Komodita Běžná cena na černém trhu WordPress účet 1$ Facebook účet 3-6$ E-mail účet 1-4$ NetFlix účet 6-8$ Booking/AirBnB 3-6$ Ověřená kreditní karta 10% limitu Kreditní/Debetní karta - pouze údaje 5-40$ PayPal účet 250$ 100k českých e-mailových adres 3$ 100k evropských e-mailových adres 1$ Kvalitní scan občanky/řidičáku 20$ Foto občanky/řidičáku (většinou 1 strana) 0,5$ 21. 10. 2018 5

6. https://lynt.cz @smitka https://u.lynt.cz/wcb Co s údaji? • https://www.bbc.com/news/av/technology- 39589241/airbnb-account-hijackers-burgle-homes • https://www.bbc.com/news/business-29942503 • https://www.thesun.co.uk/news/4985964/uber- accounts-hacked-russia-data-moscow/ • https://www.cnet.com/how-to/your-hulu-or-netflix- may-be-hacked-heres-what-to-do/ • https://www.theverge.com/2016/11/8/13561024/micr osoft-skype-baidu-linkedin-hack • https://www.deepdotweb.com/2018/01/26/german- man-charged-stolen-paypal-accounts-fraud-scheme/ 21. 10. 2018 6

7. https://lynt.cz @smitka https://u.lynt.cz/wcb Kde najdu heslo? 21. 10. 2018 7

10. https://lynt.cz @smitka https://u.lynt.cz/wcb Máte aktualizovaný router? • https://routersecurity.org/bugs.php • 03/2018 - Mikrotik, Chimay-Red - miliony zranitelných, v srpnu stále 370 00 bez opravy • 05/2018 - VPNfilter - aktivní botnet 500 000 zařízení • 05/2018 - miliony zranitelných routerů Dasan GPON (US), komplet převzetí administrace • 08/2018 - RCE ve wifi extenderech TP-link • 10/2018 - GhostDNS, napadeno 100 000 routerů různých výrobců • 10/2018 - Dlink kritické zranitelnosti v různých modelech + mnoho neopravených starších + backdoor výrobce 21. 10. 2018 10

11. https://lynt.cz @smitka https://u.lynt.cz/wcb21. 10. 2018 11

13. https://lynt.cz @smitka https://u.lynt.cz/wcb21. 10. 2018 13 S/MIME, PGP mail - složité pro uživatele Řešení: https://keybase.io/ Ukázka: https://keybase.io/encrypt#smitka Jednorázová sdílení: Text: https://secure.lynt.cz/ Soubory: https://send.firefox.com/

14. https://lynt.cz @smitka https://u.lynt.cz/wcb Kde najdu heslo? • Únik WP DB – Chyba v pluginu/šabloně - SQLi, LFI,… – Uživatelem z pluginu pro PHP shortkód – Nedostatečně izolované weby na hostingu – Přístupná záloha, directory listing – Dočasné soubory při úpravách na serveru (.wp- config.php.swp) 21. 10. 2018 14

15. https://lynt.cz @smitka https://u.lynt.cz/wcb Jak vypadá heslo ve WP? 21. 10. 2018 15

16. https://lynt.cz @smitka https://u.lynt.cz/wcb Jak by mělo heslo vypadat ve WP? 21. 10. 2018 16

17. https://lynt.cz @smitka https://u.lynt.cz/wcb21. 10. 2018 17 $P$ = PHPASS $P$512345678y78HANIxr0HorA.ARJV1y/ $2a$ = Bcrypt $2a$10$<salt-22><hash-31> Bcrypt ve WP: https://github.com/lynt-smitka/WP-nginx- config/blob/master/extras/mu- plugins/lynt-enhancer.php https://roots.io/plugins/bcrypt-password/

18. https://lynt.cz @smitka https://u.lynt.cz/wcb Rychlost louskání MD5 PHPASS BCRYPT GTX1060 8x Tesla V100 * GTX1060 8x Tesla V100 * GTX1060 8x Tesla V100 * Hash/s 11446 M 442 G 3557 k 95 M 7610 435 k 8 znaků 18 s 0,5 s 16 hod 36 min 317 dní 6 dní 8 znaků velká/malá /čísla 5 hod 8 min 2 roky 26 dní 900 let 16 let 21. 10. 2018 18 * Google Cloud - 6$/hod Podstatné zrychlení: Písmena<19/20>##(!+*)

19. https://lynt.cz @smitka https://u.lynt.cz/wcb Kde mé heslo uniklo? • https://monitor.firefox.com/ • https://haveibeenpwned.com/ 21. 10. 2018 19

20. https://lynt.cz @smitka https://u.lynt.cz/wcb Jak detekovat únik? • mall+vladimir.smitka@lynt.cz (Office 365 ) • Nastrčený uživatel se specifickým cracknutelným heslem (pzq1xga) + Google/Pastebin/ – https://haveibeenpwned.com/Passwords (SHA-1) • Analýza hesel z úniků (mall1234): – https://www.lupa.cz/clanky/unik-dat-z-nevyhazujto- cz/ 21. 10. 2018 20

21. https://lynt.cz @smitka https://u.lynt.cz/wcb Kde najdu heslo? • Malware – Klasický virus – Mobilní aplikace • https://thehackernews.com/2018/08/fortnite-android-app-apk.html • https://thehackernews.com/2018/03/facebook-android-data.html • https://www.svetandroida.cz/nahravac-hovoru-qrecorder-malware/ – Rozšíření do prohlížeče: • https://www.theregister.co.uk/2017/08/02/chrome_web_developer_extension_hacked/ • https://www.digitaltrends.com/computing/mega-cloud-storages-chrome-extension-hacked-to-steal- your-passwords/ • Keylogger 21. 10. 2018 21

22. https://lynt.cz @smitka https://u.lynt.cz/wcb21. 10. 2018 22 „Únik hesla hrozí každému z nás!“

23. https://lynt.cz @smitka https://u.lynt.cz/wcb21. 10. 2018 23 Multifaktorová autentizace • Mobilní aplikace • HW token (U2F, OTP) • Biometrika (WebAuthn) • (SMS)

24. https://lynt.cz @smitka https://u.lynt.cz/wcb Kde lze MFA použít? 21. 10. 2018 24 https://cs.wordpress.org/plugins/two-factor/ + mnoho dalších https://www.dongleauth.info

25. https://lynt.cz @smitka https://u.lynt.cz/wcb Jak žít s MFA? • Ideální kombinace – 2x HW token (u PC + s sebou) – Mobilní autentikátor jako záloha – Jednorázová hesla uložená v Password Manageru • Práce s HW tokeny je jednoduchá a pohodlná 21. 10. 2018 25

26. https://lynt.cz @smitka https://u.lynt.cz/wcb Mobilní authentikátory 21. 10. 2018 26 Google Authenticator + u2f - sync FreeOTP + ikonky - sync (root) LastPass + sync (s LP účtem) + některé služby bez opisu Authy + sync (s Authy účtem) + ikonky služeb Yubico Authenticator +/- uloženo na tokenu + ikonky služeb

27. https://lynt.cz @smitka https://u.lynt.cz/wcb HW tokeny • Yubico (CZ distribuce https://www.yubikey.cz/) 21. 10. 2018 27

28. https://lynt.cz @smitka https://u.lynt.cz/wcb • Nitrokey • Feitian • DigiPass • Fidesmo 21. 10. 2018 28 15$ 25$ 45$ 17$

29. https://lynt.cz @smitka https://u.lynt.cz/wcb Rozhraní • USB • NFC – Android, Chrome + Google Auth. • BLE – Android, Chrome + Google Auth. – IOS + podporovaná aplikace (Google Smart Lock) 21. 10. 2018 29

30. https://lynt.cz @smitka https://u.lynt.cz/wcb 2FA ve WP • https://cs.wordpress.org/plugins/two-factor/ • Uživatelé -> Profil 21. 10. 2018 30

31. https://lynt.cz @smitka https://u.lynt.cz/wcb Autentikátor 21. 10. 2018 31

32. https://lynt.cz @smitka https://u.lynt.cz/wcb U2F (HW token) 21. 10. 2018 32

33. https://lynt.cz @smitka https://u.lynt.cz/wcb Záložní kódy 21. 10. 2018 33

34. https://lynt.cz @smitka https://u.lynt.cz/wcb Po přihlášení 21. 10. 2018 34

35. https://lynt.cz @smitka https://u.lynt.cz/wcb Díky za pozornost 21. 10. 2018 35 Fluffy pracuje s hesly zodpovědně. Buď jako Fluffy! Tohle je Fluffy.

Hesla a vícefaktorová autentizace ve WP

Vladimír Smitka

Hesla a vícefaktorová autentizace ve WP