Hesla a vícefaktorová autentizace ve WP

Vladimír Smitka
Vladimír SmitkaCo-founder - Lynt services at Lynt services s.r.o.
https://lynt.cz @smitka https://u.lynt.cz/wcb
Vláďa Smitka
vladimir.smitka@lynt.cz
@smitka
Lynt services s.r.o.
21. 10. 2018 1
Hesla a vícefaktorová
autentizace ve WP
https://lynt.cz @smitka https://u.lynt.cz/wcb
Hesla, hesla, hesla
• 20 - 80 tisíc pokusů za měsíc na jeden z větších
webů v naší správě
– https://github.com/lynt-smitka/WP-nginx-
config/blob/master/extras/mu-plugins/lynt-custom-login.php
– https://u.lynt.cz/htaccess#file-htaccess-examples-L64-L69
– https://u.lynt.cz/htaccess#file-htaccess-examples-L105-L108
• Credential Stuffing
– znovuvyužívání ukradených hesel
– https://www.akamai.com/uk/en/about/our-thinking/state-of-the-internet-
report/global-state-of-the-internet-security-ddos-attack-reports.jsp
21. 10. 2018 2
https://lynt.cz @smitka https://u.lynt.cz/wcb
Credential Stuffing
21. 10. 2018 3
https://lynt.cz @smitka https://u.lynt.cz/wcb21. 10. 2018 4
• LastPass
• 1Password
• Dashlane
• KeePass
https://lynt.cz @smitka https://u.lynt.cz/wcb
Ceník
Komodita Běžná cena na černém trhu
WordPress účet 1$
Facebook účet 3-6$
E-mail účet 1-4$
NetFlix účet 6-8$
Booking/AirBnB 3-6$
Ověřená kreditní karta 10% limitu
Kreditní/Debetní karta - pouze údaje 5-40$
PayPal účet 250$
100k českých e-mailových adres 3$
100k evropských e-mailových adres 1$
Kvalitní scan občanky/řidičáku 20$
Foto občanky/řidičáku (většinou 1 strana) 0,5$
21. 10. 2018 5
https://lynt.cz @smitka https://u.lynt.cz/wcb
Co s údaji?
• https://www.bbc.com/news/av/technology-
39589241/airbnb-account-hijackers-burgle-homes
• https://www.bbc.com/news/business-29942503
• https://www.thesun.co.uk/news/4985964/uber-
accounts-hacked-russia-data-moscow/
• https://www.cnet.com/how-to/your-hulu-or-netflix-
may-be-hacked-heres-what-to-do/
• https://www.theverge.com/2016/11/8/13561024/micr
osoft-skype-baidu-linkedin-hack
• https://www.deepdotweb.com/2018/01/26/german-
man-charged-stolen-paypal-accounts-fraud-scheme/
21. 10. 2018 6
https://lynt.cz @smitka https://u.lynt.cz/wcb
Kde najdu heslo?
21. 10. 2018 7
https://lynt.cz @smitka https://u.lynt.cz/wcb
Kde najdu heslo?
21. 10. 2018 8
https://lynt.cz @smitka https://u.lynt.cz/wcb
Kde najdu heslo?
21. 10. 2018 9
https://lynt.cz @smitka https://u.lynt.cz/wcb
Máte aktualizovaný router?
• https://routersecurity.org/bugs.php
• 03/2018 - Mikrotik, Chimay-Red - miliony zranitelných, v srpnu stále
370 00 bez opravy
• 05/2018 - VPNfilter - aktivní botnet 500 000 zařízení
• 05/2018 - miliony zranitelných routerů Dasan GPON (US), komplet
převzetí administrace
• 08/2018 - RCE ve wifi extenderech TP-link
• 10/2018 - GhostDNS, napadeno 100 000 routerů různých výrobců
• 10/2018 - Dlink kritické zranitelnosti v různých modelech + mnoho
neopravených starších + backdoor výrobce
21. 10. 2018 10
https://lynt.cz @smitka https://u.lynt.cz/wcb21. 10. 2018 11
https://lynt.cz @smitka https://u.lynt.cz/wcb
Kde najdu heslo?
21. 10. 2018 12
https://lynt.cz @smitka https://u.lynt.cz/wcb21. 10. 2018 13
S/MIME, PGP mail - složité pro uživatele
Řešení:
https://keybase.io/
Ukázka:
https://keybase.io/encrypt#smitka
Jednorázová sdílení:
Text: https://secure.lynt.cz/
Soubory: https://send.firefox.com/
https://lynt.cz @smitka https://u.lynt.cz/wcb
Kde najdu heslo?
• Únik WP DB
– Chyba v pluginu/šabloně - SQLi, LFI,…
– Uživatelem z pluginu pro PHP shortkód
– Nedostatečně izolované weby na hostingu
– Přístupná záloha, directory listing
– Dočasné soubory při úpravách na serveru (.wp-
config.php.swp)
21. 10. 2018 14
https://lynt.cz @smitka https://u.lynt.cz/wcb
Jak vypadá heslo ve WP?
21. 10. 2018 15
https://lynt.cz @smitka https://u.lynt.cz/wcb
Jak by mělo heslo vypadat ve WP?
21. 10. 2018 16
https://lynt.cz @smitka https://u.lynt.cz/wcb21. 10. 2018 17
$P$ = PHPASS
$P$512345678y78HANIxr0HorA.ARJV1y/
$2a$ = Bcrypt
$2a$10$<salt-22><hash-31>
Bcrypt ve WP:
https://github.com/lynt-smitka/WP-nginx-
config/blob/master/extras/mu-
plugins/lynt-enhancer.php
https://roots.io/plugins/bcrypt-password/
https://lynt.cz @smitka https://u.lynt.cz/wcb
Rychlost louskání
MD5 PHPASS BCRYPT
GTX1060 8x Tesla
V100 *
GTX1060 8x Tesla
V100 *
GTX1060 8x Tesla
V100 *
Hash/s 11446 M 442 G 3557 k 95 M 7610 435 k
8 znaků 18 s 0,5 s 16 hod 36 min 317 dní 6 dní
8 znaků
velká/malá
/čísla
5 hod 8 min 2 roky 26 dní 900 let 16 let
21. 10. 2018 18
* Google Cloud - 6$/hod
Podstatné zrychlení:
Písmena<19/20>##(!+*)
https://lynt.cz @smitka https://u.lynt.cz/wcb
Kde mé heslo uniklo?
• https://monitor.firefox.com/
• https://haveibeenpwned.com/
21. 10. 2018 19
https://lynt.cz @smitka https://u.lynt.cz/wcb
Jak detekovat únik?
• mall+vladimir.smitka@lynt.cz (Office 365 )
• Nastrčený uživatel se specifickým cracknutelným
heslem (pzq1xga) + Google/Pastebin/
– https://haveibeenpwned.com/Passwords (SHA-1)
• Analýza hesel z úniků (mall1234):
– https://www.lupa.cz/clanky/unik-dat-z-nevyhazujto-
cz/
21. 10. 2018 20
https://lynt.cz @smitka https://u.lynt.cz/wcb
Kde najdu heslo?
• Malware
– Klasický virus
– Mobilní aplikace
• https://thehackernews.com/2018/08/fortnite-android-app-apk.html
• https://thehackernews.com/2018/03/facebook-android-data.html
• https://www.svetandroida.cz/nahravac-hovoru-qrecorder-malware/
– Rozšíření do prohlížeče:
• https://www.theregister.co.uk/2017/08/02/chrome_web_developer_extension_hacked/
• https://www.digitaltrends.com/computing/mega-cloud-storages-chrome-extension-hacked-to-steal-
your-passwords/
• Keylogger
21. 10. 2018 21
https://lynt.cz @smitka https://u.lynt.cz/wcb21. 10. 2018 22
„Únik hesla hrozí každému z nás!“
https://lynt.cz @smitka https://u.lynt.cz/wcb21. 10. 2018 23
Multifaktorová autentizace
• Mobilní aplikace
• HW token (U2F, OTP)
• Biometrika (WebAuthn)
• (SMS)
https://lynt.cz @smitka https://u.lynt.cz/wcb
Kde lze MFA použít?
21. 10. 2018 24
https://cs.wordpress.org/plugins/two-factor/
+ mnoho dalších https://www.dongleauth.info
https://lynt.cz @smitka https://u.lynt.cz/wcb
Jak žít s MFA?
• Ideální kombinace
– 2x HW token (u PC + s sebou)
– Mobilní autentikátor jako záloha
– Jednorázová hesla uložená v Password Manageru
• Práce s HW tokeny je jednoduchá a pohodlná
21. 10. 2018 25
https://lynt.cz @smitka https://u.lynt.cz/wcb
Mobilní authentikátory
21. 10. 2018 26
Google Authenticator
+ u2f
- sync
FreeOTP
+ ikonky
- sync (root)
LastPass
+ sync (s LP účtem)
+ některé služby bez opisu
Authy
+ sync (s Authy účtem)
+ ikonky služeb
Yubico Authenticator
+/- uloženo na tokenu
+ ikonky služeb
https://lynt.cz @smitka https://u.lynt.cz/wcb
HW tokeny
• Yubico (CZ distribuce https://www.yubikey.cz/)
21. 10. 2018 27
https://lynt.cz @smitka https://u.lynt.cz/wcb
• Nitrokey
• Feitian
• DigiPass
• Fidesmo
21. 10. 2018 28
15$
25$
45$
17$
https://lynt.cz @smitka https://u.lynt.cz/wcb
Rozhraní
• USB
• NFC
– Android, Chrome + Google Auth.
• BLE
– Android, Chrome + Google Auth.
– IOS + podporovaná aplikace (Google Smart Lock)
21. 10. 2018 29
https://lynt.cz @smitka https://u.lynt.cz/wcb
2FA ve WP
• https://cs.wordpress.org/plugins/two-factor/
• Uživatelé -> Profil
21. 10. 2018 30
https://lynt.cz @smitka https://u.lynt.cz/wcb
Autentikátor
21. 10. 2018 31
https://lynt.cz @smitka https://u.lynt.cz/wcb
U2F (HW token)
21. 10. 2018 32
https://lynt.cz @smitka https://u.lynt.cz/wcb
Záložní kódy
21. 10. 2018 33
https://lynt.cz @smitka https://u.lynt.cz/wcb
Po přihlášení
21. 10. 2018 34
https://lynt.cz @smitka https://u.lynt.cz/wcb
Díky za pozornost
21. 10. 2018 35
Fluffy pracuje s hesly zodpovědně.
Buď jako Fluffy!
Tohle je Fluffy.
1 of 35

Recommended

Drobné chyby, které vám mohou zlomit vaz by
Drobné chyby, které vám mohou zlomit vazDrobné chyby, které vám mohou zlomit vaz
Drobné chyby, které vám mohou zlomit vazVladimír Smitka
1.1K views28 slides
WordCamp Bratislava 2019 - Cache! by
WordCamp Bratislava 2019 - Cache!WordCamp Bratislava 2019 - Cache!
WordCamp Bratislava 2019 - Cache!Vladimír Smitka
1.6K views35 slides
Google Tag Manager a analytika ve WordPress by
Google Tag Manager a analytika ve WordPressGoogle Tag Manager a analytika ve WordPress
Google Tag Manager a analytika ve WordPressVladimír Smitka
700 views32 slides
WP Weekend 2018 by
WP Weekend 2018WP Weekend 2018
WP Weekend 2018Vladimír Smitka
308 views23 slides
Najčastejšie problémy WordPress webov by
Najčastejšie problémy WordPress webovNajčastejšie problémy WordPress webov
Najčastejšie problémy WordPress webovVladimír Smitka
2.6K views50 slides
Webmeetup #3 by
Webmeetup #3Webmeetup #3
Webmeetup #3Vladimír Smitka
461 views29 slides

More Related Content

What's hot

Nejčastejší problémy WordPress webů by
Nejčastejší problémy WordPress webůNejčastejší problémy WordPress webů
Nejčastejší problémy WordPress webůVladimír Smitka
3.7K views39 slides
WordCamp Praha 2016 - Bezpečnost WordPress by
WordCamp Praha 2016 - Bezpečnost WordPressWordCamp Praha 2016 - Bezpečnost WordPress
WordCamp Praha 2016 - Bezpečnost WordPressVladimír Smitka
5.7K views60 slides
Jak si (ne)nechat hacknout Wordpress stránky by
Jak si (ne)nechat hacknout Wordpress stránkyJak si (ne)nechat hacknout Wordpress stránky
Jak si (ne)nechat hacknout Wordpress stránkyVladimír Smitka
10.2K views40 slides
Výkon WordPress by
Výkon WordPressVýkon WordPress
Výkon WordPressVladimír Smitka
8.2K views57 slides
WordPress - základy bezpečnosti by
WordPress - základy bezpečnostiWordPress - základy bezpečnosti
WordPress - základy bezpečnostiVladimír Smitka
1.4K views45 slides
WordCamp Brno 2017 - rychlý a bezpečný web by
WordCamp Brno 2017  - rychlý a bezpečný webWordCamp Brno 2017  - rychlý a bezpečný web
WordCamp Brno 2017 - rychlý a bezpečný webVladimír Smitka
1.6K views27 slides

What's hot(15)

Nejčastejší problémy WordPress webů by Vladimír Smitka
Nejčastejší problémy WordPress webůNejčastejší problémy WordPress webů
Nejčastejší problémy WordPress webů
Vladimír Smitka3.7K views
WordCamp Praha 2016 - Bezpečnost WordPress by Vladimír Smitka
WordCamp Praha 2016 - Bezpečnost WordPressWordCamp Praha 2016 - Bezpečnost WordPress
WordCamp Praha 2016 - Bezpečnost WordPress
Vladimír Smitka5.7K views
Jak si (ne)nechat hacknout Wordpress stránky by Vladimír Smitka
Jak si (ne)nechat hacknout Wordpress stránkyJak si (ne)nechat hacknout Wordpress stránky
Jak si (ne)nechat hacknout Wordpress stránky
Vladimír Smitka10.2K views
WordPress - základy bezpečnosti by Vladimír Smitka
WordPress - základy bezpečnostiWordPress - základy bezpečnosti
WordPress - základy bezpečnosti
Vladimír Smitka1.4K views
WordCamp Brno 2017 - rychlý a bezpečný web by Vladimír Smitka
WordCamp Brno 2017  - rychlý a bezpečný webWordCamp Brno 2017  - rychlý a bezpečný web
WordCamp Brno 2017 - rychlý a bezpečný web
Vladimír Smitka1.6K views
WordPress šablony a rychlost načítání (WordCamp Praha 2017) by Martin Michálek
WordPress šablony a  rychlost načítání (WordCamp Praha 2017)WordPress šablony a  rychlost načítání (WordCamp Praha 2017)
WordPress šablony a rychlost načítání (WordCamp Praha 2017)
Martin Michálek1.8K views
WordPress: Základy - bezpečnost 3x3 by Vladimír Smitka
WordPress: Základy - bezpečnost 3x3WordPress: Základy - bezpečnost 3x3
WordPress: Základy - bezpečnost 3x3
Vladimír Smitka1.7K views
Základní pluginy pro WordPress by Radek Kucera
Základní pluginy pro WordPressZákladní pluginy pro WordPress
Základní pluginy pro WordPress
Radek Kucera682 views
Wordpress_DOD by Doubry99
Wordpress_DODWordpress_DOD
Wordpress_DOD
Doubry992K views
Bezpečnost Wordpressu - 4. WP konference by Vladimír Smitka
Bezpečnost Wordpressu - 4. WP konferenceBezpečnost Wordpressu - 4. WP konference
Bezpečnost Wordpressu - 4. WP konference
Vladimír Smitka4.7K views

Similar to Hesla a vícefaktorová autentizace ve WP

Co ukázal globální scan přístupných .git repozitářů? by
Co ukázal globální scan přístupných .git repozitářů?Co ukázal globální scan přístupných .git repozitářů?
Co ukázal globální scan přístupných .git repozitářů?Vladimír Smitka
602 views45 slides
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015 by
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015Bezpečnost WP, tipy pro každého - wordCamp Praha 2015
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015Vladimír Smitka
8.8K views79 slides
Zabezpečení Slevomatu by
Zabezpečení SlevomatuZabezpečení Slevomatu
Zabezpečení SlevomatuMichal Špaček
9.8K views21 slides
TNPW2-2016-05 by
TNPW2-2016-05TNPW2-2016-05
TNPW2-2016-05Lukáš Vacek
327 views42 slides
06 prez2(tvorba webu) by
06 prez2(tvorba webu)06 prez2(tvorba webu)
06 prez2(tvorba webu)olc_user
109 views6 slides
Webový front-end ve službách mobilního vývojáře by
Webový front-end  ve službách mobilního  vývojáře Webový front-end  ve službách mobilního  vývojáře
Webový front-end ve službách mobilního vývojáře Martin Michálek
2.4K views52 slides

Similar to Hesla a vícefaktorová autentizace ve WP(20)

Co ukázal globální scan přístupných .git repozitářů? by Vladimír Smitka
Co ukázal globální scan přístupných .git repozitářů?Co ukázal globální scan přístupných .git repozitářů?
Co ukázal globální scan přístupných .git repozitářů?
Vladimír Smitka602 views
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015 by Vladimír Smitka
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015Bezpečnost WP, tipy pro každého - wordCamp Praha 2015
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015
Vladimír Smitka8.8K views
06 prez2(tvorba webu) by olc_user
06 prez2(tvorba webu)06 prez2(tvorba webu)
06 prez2(tvorba webu)
olc_user109 views
Webový front-end ve službách mobilního vývojáře by Martin Michálek
Webový front-end  ve službách mobilního  vývojáře Webový front-end  ve službách mobilního  vývojáře
Webový front-end ve službách mobilního vývojáře
Martin Michálek2.4K views
Nette v cloudu - Poslední Sobota by Patrik Votoček
Nette v cloudu - Poslední SobotaNette v cloudu - Poslední Sobota
Nette v cloudu - Poslední Sobota
Patrik Votoček831 views
Wordcamp Praha 2015 - další útržky z prezentace by Vladimír Smitka
Wordcamp Praha 2015 - další útržky z prezentaceWordcamp Praha 2015 - další útržky z prezentace
Wordcamp Praha 2015 - další útržky z prezentace
Vladimír Smitka945 views
Zdroje informací a podpora pro IBM WebSphere Portal by Petr Kunc
Zdroje informací a podpora pro IBM WebSphere PortalZdroje informací a podpora pro IBM WebSphere Portal
Zdroje informací a podpora pro IBM WebSphere Portal
Petr Kunc309 views
Tomáš Poner a Vladislav Musílek, Nejlepší affiliate pluginy pro WordPress by Colpirio.com s.r.o.
Tomáš Poner a Vladislav Musílek, Nejlepší affiliate pluginy pro WordPressTomáš Poner a Vladislav Musílek, Nejlepší affiliate pluginy pro WordPress
Tomáš Poner a Vladislav Musílek, Nejlepší affiliate pluginy pro WordPress
Colpirio.com s.r.o.5.1K views
HTTPS zdarma a pro všechny - LinuxDays 2015 by tomashala
HTTPS zdarma a pro všechny - LinuxDays 2015HTTPS zdarma a pro všechny - LinuxDays 2015
HTTPS zdarma a pro všechny - LinuxDays 2015
tomashala1.3K views
KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022) by Michal ZOBEC
KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)
KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)
Michal ZOBEC210 views
Hon za fonty na webu by jansladek
Hon za fonty na webuHon za fonty na webu
Hon za fonty na webu
jansladek1.4K views

More from Vladimír Smitka

Http/2 vs Image Sprites by
Http/2 vs Image SpritesHttp/2 vs Image Sprites
Http/2 vs Image SpritesVladimír Smitka
1.4K views10 slides
Ansible by
AnsibleAnsible
AnsibleVladimír Smitka
1.4K views45 slides
WordPress Security: Defend yourself against digital invaders by
WordPress Security:Defend yourself against digital invadersWordPress Security:Defend yourself against digital invaders
WordPress Security: Defend yourself against digital invadersVladimír Smitka
2.8K views62 slides
WordPress performance tuning by
WordPress performance tuningWordPress performance tuning
WordPress performance tuningVladimír Smitka
4.9K views57 slides
WordPress security for everyone by
WordPress security for everyoneWordPress security for everyone
WordPress security for everyoneVladimír Smitka
37.3K views77 slides
České weby a Wordpress (Q4/2014) by
České weby a Wordpress (Q4/2014)České weby a Wordpress (Q4/2014)
České weby a Wordpress (Q4/2014)Vladimír Smitka
454 views1 slide

More from Vladimír Smitka(8)

Hesla a vícefaktorová autentizace ve WP