4Developers 2015: Dobrze posól swoje hasło: skróty haseł w webie - Leszek Krupiński
•
0 gefällt mir•623 views
Leszek Krupiński Language: Polish Wszystkie aplikacje webowe, które pozwalają na rejestrację użytkowników, muszą w jakiś sposób zajmować się tematem przechowywania haseł. Jest to wrażliwy temat, do którego trzeba podejść z pełną świadomością konsekwencji. Na wykładzie przedstawione zostaną techniki pozwalające na zapewnienie jak najwyższego poziomu bezpieczeństwa przechowywanych haseł, oraz te stosowane przez osoby dążące do przełamania zabezpieczeń.
Empfohlen
Weitere ähnliche Inhalte
Empfohlen
Empfohlen (20)
4Developers 2015: Dobrze posól swoje hasło: skróty haseł w webie - Leszek Krupiński
- 1. Dobrze posól swoje hasło Skróty haseł w webie Leszek Krupiński 4developers 2015
- 2. LEAFNODE
- 4. Wstęp
- 5. User credentials w web aplikacjach
- 6. OWASP Top Ten #1: Injection #6: Sensitive Data Exposure
- 7. Rule #1: No Plain Text
- 8. Hashing
- 15. Wysoka zmienność
- 16. >>> sha1('Quick brown fox jumps over the lazy dog') => "4ba0c2b764daf33a75f06e4ce4dfdce283aa9a9c" >>> sha1('Quick brown fox jumps over The lazy dog') => “c47983041ddb867c60790f93f681d74fc971ff47" >>> decbin(ord('T')) => "1010100" >>> decbin(ord('t')) => "1110100"
- 18. username = Request->get('username'); password = Request->get('password'); hash = md5(password); user = Repository->getUser(username, hash); if (user) { this->status = LOGGED_IN; return; } else { throw new BadPasswordException(); }
- 20. Brute Force
- 23. 735 091 890 625
- 26. 123456
- 27. razem: ~900k user=pass: 5022 user=pass lowercase: 6721 pass zawiera username: 30782 1234: 4172 12345: 3517 123456: 2954 1234567: 161 12345678: 267 123456789: 409 1234567890: 158 same cyfry: 97259
- 28. Atak słownikowy
- 29. Atak hybrydowy
- 31. czy md5(“jabłko”) jest na liście? … czy md5(“gruszka”) jest na liście? … czy md5(“banan”) jest na liście? … czy md5(“pomarańcza”) jest na liście? … czy md5(“arbuz”) jest na liście? … czy md5(“brzoskwinia”) jest na liście? … nie tak (użytkownik “janek”) nie tak (użytkownicy “zosia”, “franek”) tak (użytkownik “marek”) nie
- 32. Lookup Table
- 34. password | hash --------------------------------------------- a | 0cc175b9c0f1b6a831c399e269772661 aa | 4124bc0a9335c27f086f24ba207a4912 aaa | 47bce5c74f589f4867dbd57e9ca9f808 aaaa | 74b87337454200d4d33f80c4663dc5e5 (...) ab | 187ef4436122d1cc2f40dc2b92f0eba0 aba | 79af87723dc295f95bdb277a61189a2a abaa | 537964105de1063e88b2fc126750d16e (...) cat | d077f244def8a70e5ea758bd8352fcd8 (...) dog | 06d80eb0c50b49a509b49f2424e8c805 (...)
- 35. Minus: rozmiar
- 36. 7 znaków == 1.5 Pb
- 37. Hash chains
- 39. aaaaaa 0b4e7a cdadro 8b8031 umehaoRH H R PASSWORD CANDIDATE HASH PASSWORD CANDIDATEPASSWORD CANDIDATE HASH
- 41. Przeszukiwanie
- 42. P1 H1 P2 H2 P3 dog e0d13d cat 4e85aa lion hawk 867dbd eagle 399e26 pigeon balltennis basket23dc29b92f0e party event ball70e5ea33f80c 23dc29
- 43. P1 H1 P2 H2 P3 dog e0d13d cat 4e85aa lion hawk 867dbd eagle 399e26 pigeon balltennis basket23dc29b92f0e party event ball70e5ea33f80c b92f0e
- 44. P1 H1 P2 H2 P3 dog e0d13d cat 4e85aa lion hawk 867dbd eagle 399e26 pigeon balltennis basket23dc29b92f0e party event ball70e5ea33f80c 7a68a0
- 45. Kolizje
- 46. P1 H1 P2 H2 P3 dog e0d13d cat 4e85aa lion hawk 867dbd eagle 399e26 pigeon balltennis basket23dc29b92f0e party event ball70e5ea33f80c
- 47. Rainbow Tables
- 48. dog e0d13d cat 4e85aa lion d023a3 hawk 867dbd eagle 399e26 pigeon 89f486 balltennis basket23dc29b92f0e 5b9c0f party event ball 23dc29 70e5ea 33f80c tiger d023a3 sparrow 89f486 volley 5b9c0f venue 23dc29H H H H H H H H H H H H H H H H R1 R1 R1 R1 R2 R2 R2 R2 R3 R3 R3 R3 base foot room falconR4 R4 R4 R4
- 49. Przeszukiwanie
- 50. dog e0d13d cat 4e85aa lion d023a3 hawk 867dbd eagle 399e26 pigeon 89f486 balltennis basket23dc29b92f0e 5b9c0f party event ball 23dc29 70e5ea 33f80c tiger d023a3 sparrow 89f486 volley 5b9c0f venue 23dc29H H H H H H H H H H H H H H H H R1 R1 R1 R1 R2 R2 R2 R2 R3 R3 R3 R3 base foot room falconR4 R4 R4 R4 89f486 foot 70e5ea R4 R4 leg 70e5ea R3 box R4 yellowH 1043da 70e5ea R2 cat H 4e85aa R3 sparrowR3 H 89f486 R4 foot
- 51. chain: 71 000 storage: 64GB
- 52. Salt
- 53. md5(salt+pass)
- 54. Unikalny salt
- 58. Algorytmy MD5, SHA-1,SHA-2, SHA-256, SHA-512
- 59. Wada: szybkość
- 60. 50 milionów na sekundę średniej klasy laptop z poprzedniej generacji (GPU)
- 61. 6-znakowe: 4 godziny 7-znakowe: 17 dni 8-znakowe: 4,5 roku
- 62. 180 miliardów na sekundę Dedykowany do łamania haseł klaster 25 GPU (2012)
- 63. 6-znakowe: 4 sekundy 7-znakowe: 6 minut 8-znakowe: 10 godzin
- 64. Nie wymyślaj
- 66. Lepsze algorytmy
- 67. Key stretching
- 68. Iteracja skrótu
- 69. 6-znakowe: 17 minut 7-znakowe: 1 dzień 8-znakowe: 124 dni n=1000
- 70. PBKDF2 Password-Based Key Derivation Function 2
- 71. 6-znakowe: 28 dni 7-znakowe: 7 lat 8-znakowe: 700 lat
- 72. bcrypt
- 73. 6-znakowe: 120 dni 7-znakowe: 31 lat 8-znakowe: 3000 lat
- 80. …ale nie jak Adobe http://bit.ly/adobe-passwords
- 84. Dobre rady
- 85. Hasła
- 88. Używaj długich, łatwych do zapamiętania haseł. Nie przechowuj haseł plain-text. Używaj salt. Salt ma być indywidualny. Salt ma być losowy. Salt ma być długi. Nie używaj dziwnych funkcji skrótu. Używaj iteracyjnych, dedykowanych algorytmów skrótu. Używaj bezpiecznego porównywania ciągów. Wymuszaj politykę haseł na użytkownikach, ale nie przesadzaj. Zmieniaj hasła. Nie używaj tego samego hasła w wielu serwisach. Rozważ zastosowanie biblioteki do generowania skrótu. Z czasem zwiększaj liczbę iteracji. Miej plan awaryjny.
- 89. Pytania?