SkullBox Forum  |  Administrare, configurare si intretinere  |  Securitate  |  Topic: [Concurs] [Task 02] O parola eficienta?

Primul task s-a incheiat destul de bine. Acum ca v-ati dezmortit neuronii, sa vedem al doilea task.


Ca in cazul anterior, raspunsul ar fi bine sa contina intre 50 si 500 de cuvinte. Nu va zgarciti la detalii pentru ca sunt apreciate - si intotdeauna sunt placute, cand sunt citite de o minte curioasa

Aveti doua zile sa va prezentati parerile. Spor la postat si have fun!

Cand iti alegi o parola, trebuie sa te gandesti la una care este cam greu de spart sau de ghicit. Dupa mine o parola trebuie:
- Sa contina si litere si cifre.
- Parola trebuie sa nu fie scurta, 8 caractere minim.
- Sa nu folosesti numarul tau de telefon, data nasteri, CNP.
Exemplu de parola: v2wiu1d39

      Principiul 1: O parola o folosesti doar pentru un singur cont.
Nu e bine sa folosesti aceeasi parola pentru mai multe conturi de pe site-uri/forumuri diferite deoarece daca un cont iti este spart e fosrte usor sa le sparga si pe celelalte daca este o persoana cu intentii rele.
      Principiul 2: Parola cat mai lunga cu caractere cat mai diferite.
O parola bine pusa la punct din toate punctele de vedere trebuie sa aiba un numar cat mai mare de caractere, fara sa facem abuz de caracterele disponibile si de timpul tastarii ei, nu cred ca parola ex: fjeFEsuFyrh84wVHThdu9waGaAhdwhd9wyqhDY87YWQHewJQztrOFfgJS poate fi retinuta si tastata usor de aceea un numar mai mic si mai usor de retinut este recomandat.
      Principiul 3: Fara date personale sau dezvaluirea parolei persoanelor straine.
Am vazut la TV un sondaj facut in S.U.A. in care 96%, daca imi amintesc bine, din cei intervievati si-au dezvaluit datele de la firma la care lucrau (datele de logare, ip-uri, tipul retelei, etc.) sau de la conturile detinute pe diferite site-uri si alte date personale unii pentru o cafea, hamburger, suc si altii pentru nimic. Chiar daca persoana care iti cere aceste date pare inofensiva si crezi ca nu iti poate face nici un rau sau ca nu are cum intra in calculatoarele companiei la care lucrezi sau nu e interesata de contul tau de hi5,facebook, etc. s-ar putea sa te inseli deoarece nu toti fac sondaje de opinie, unii fac si "sondaje personale" .
       Legat de datele personale, parolele nu trebuie sa fie nume uzuale gen: andrei, mihai, yahoo, google, etc si nici vyp3r, andr31, !30, etc. O parola mai incalcita e mai buna.
       Totusi siguranta contului nu de aici vine ci din sansa de a nu fi tu cel care urmeaza sa ii fie spart contul.

O parola eficienta trebuie sa aiba atat litere mari cat si mici,si combinati de cifre. Iar daca stii lungimea maxima care poate fi folosita cu atat mai bine. De exemplu in cazul ruterului pot folosi 36 de caractere, isa deoarece raza de actiune a ruterului nu e foarte mare folosesc o parola doa de 15. Cu toate ca o parola ar trebui sa aiba un intales haotic pentru a nu fi sparta, totusi noi alegem parole mai simple, deoarece acestea trebuie retinute, deci eu zic ca eficienta sta mai mult in lungime, se stie ca cu cat parola este mai lunga este mai greu de spart.
Vorbind despre parola pe un forum sau pe un site da logic ar fi sa folosesti parole diferite, dar daca stii ca siteul sau forumul este unul renumit gen yahoo,hi5 etc, euzic ca poti folosi acceiasi parola. In cazul trackerelor de obicei vei primi un mesaj pe mail sau pe tracker cum ca un anumit ip a incercat sa se logheze cu usernameul tau, e bine sa raportezi imediat stafului cele intamplate, adaugand si ip-ul atacatorului in mesaj.
Si acum hai sa vorbim despre protectia adevarata, ce ne facem daca folosim carduri bancare,pinuri etc. Aici problema poate fi destul de serioasa, trebuie sa fi in primul rand atent unde ai de gand sa folosesti aceste date,siteul sa fie de tipul https: . E bine sa ai si un antivirus cu filtru de control al identitatii, care sa monitorizeze traficul HTTP,SMTP pentru a identifica informatiile cu caracter personal(codul cardurilor,portiuni dintr-o parola etc.)

Pentru mine o parola buna care nu poate fi sparta usor este o parola de genul Sk#!b()($10_8 care sa contina undeva la 15 caractere,litere mari si mici,cifre si simboluri!O parola o folosesc pe un singur site si nu folosesc niciodata functia "Remember password".Pentru siteurile care suporta parole mari puteti folosii si encodarea usoara de tip base64.Nu salvati niciodata pe mail parolele pentru ca daca acea adresa va fi sparta,automat si parolele voastre vor fi aflate.Aveti grija tot timpul sa aveti un antivirus eficient(Bitdefender internet security) instalat si updatat pentru cazuri speciale,cum sunt virusii care fura parole de exemplu.Aveti grija cand faceti printscreenuri la browser si le faceti publice pe net sa cenzurati URL-ul din browser!Stergeti cacheul si cookie-urile frecvent pentru o mai buna securitate!

O parola buna e una lunga si complicata.
Acum sa definim ce inseamna lung si complicat, de la cat incepe o parola sa fie considerata "lunga".

O parola de lungime 8 care contine cel putin una din caracterele a-z,A-Z,0-9 + simboluri (32 la numar) va putea fi sparta ruland barsWF pe o placa nvidia tesla de ultima generatie in 38 de zile. Avand 38 placi la dispozitie evident timpul se imparte la numarul de placi, deci o zi.

Timpul necesar pentru a sparge o parola creste extrem de rapid odata cu cresterea lungimii parolei.
Asadar pentru a sparge o parola cu specificatiile de mai sus, dar de lungime 9 pe 38 placi, ar dura ~100 zile

In contrast, cu cat e mai putin complexa parola, cu atat e mai usor de spart :
Sa consideram 38 placi nvidia tesla ruland barsWF :
o parola a-z lungime 12 ar fi sparta in 15 zile
o parola A-Z lungime 12 ar fi sparta tot in 15 zile
o parola a-z + A-Z lungime 10 ar fi sparta in 22 zile
o parola a-z + A-Z + 0-9 lungime 10 ar fi sparta in 130 zile
o parola a-z + A-Z + 0-9 + simboluri + spatiu lungime 9 ar fi sparta in 100 zile

Luand in considerare faptul ca adaugand un caracter in plus la o parola, timpul necesar pentru a o sparge creste exponential => o parola este "sigura" daca e :
a-z, lungime >=13;
A-Z, lungime >=13;
a-z + A-Z, >=11
a-z + A-Z + 0-9, >=11
a-z + A-Z + 0-9 + simboluri + spatiu, >=10
//nu mai calculez la cea numerica, deoarece ar trece de 16.

Ce inseamna o parola a-z + A-Z + 0-9 + simboluri + spatiu, >=10 ?
Parola trebuie sa contina cel putin una din caracterele ce apartin acelor intervale, avand o lungime mai mare sau egala cu 11.
exemplu : "n2-zn@lL=\x"

Poate va intrebati de ce nu am luat in considerare si alte caractere ASCII. Deoarece foarte putine aplicatii web au suport pentru asfel de caractere, iar majoritatea sunt "mapped" (trec din acel caracter ascii intr-un caracter ce se incadreaza in intervalele a-z, A-Z si asa mai departe, de exemplu ă trece intai in "a" iar apoi este hashuit).

De ce am ales algoritmul MD5 in exemplu ?
Deoarece majoritatea sistemelor "web" folosesc acest algoritm hash, majoritatea fara salt, fara conversii speciale => e cel mai usor si frecvent atacat.

De ce nu m-am legat de rainbow tables in explicatia mea ?
Deoarece pentru a genera tabele pentru acele lungimi nu e fezabil, e nevoie de peste 100 TiB doar pentru mixalpha-numeric-symbol32-space#1-10, probabillitatea de succes 99.9% (rateaza 1 din 1000).

De ce am ales crackerul barsWF ?
Deoarece este cel mai rapid din lume folosind hash reversing + foloseste toata puterea tehnologiei CUDA, ale placilor cu marca Nvidia.

Daca vreti detalii cum am ajuns la aceste cifre, lasati un reply si voi posta o explicatie cu toate amanuntele necesare.
Mi lene acum, si nu vad necesara aceasta explicatie cel putin deocamdata.

Wtf, ce-i cu ozn-ul asta, de unde cunosti atatea despre hash cracking ?
//lauda de sine..//
Sunt moderator + dezvoltator al site-ului freerainbowtables.com de 2 ani jumate.

LE :
Ce exemplu de hash poti sa-mi dai care e "sigur".
Niciun algoritm hash nu e "sigur", in permanenta exista cercetatori care cauta asa numitele coliziuni, in general cu cat dureaza mai mult parcurgerea in intregime a algoritmului cu atat timpul pentru a sparge hashul e mai lung => cu atat e mai sigur.
Exemple : SHA-512, Haval-256, RipeMD-320, Whirlpool

LE2:
Ca algoritm de encriptare, ce sa folosesc ?
PGP recomand (gpg4win). Dar si AES-256 e relativ safe atm.

//multumesc Agkelos ca m-ai instiintat de "concurs"

Voi incerca sa dau niste explicatii de la non-IT la IT, ca sa acopar o cat mai mare suprafata de utilizatori si cazuri.
Ca un end-user non-IT-ist, singurul lucru care ma intereseaza e ca parola sa imi protejeze contul. Astfel, voi pune probabil o parola de lungime mica-medie, poate cu litere cifre si ceva caractere speciale.
Daca sunt o persoana importanta, sau am un site/proiect important, evident, probabilitatea ca acesta sa fie spart creste, astfel incat va trebui sa ma gandesc nu doar la o parola cat de cat sigura, cat si la a mentine sau chiar a scadea o probabilitate mica pentru ca site-ul sa fie spart.
Daca sunt activ in domeniul IT, e foarte posibil sa am catde cat cunostinte si in domeniul scuritatii, astfel ca ma va interesa nu doar sa aleg o parola cat mai complicata/complexa ci si din punct de vedere tehnic sa fie greu de spart.

Astfel, in functie de probabilitatea ca un cont sa fie spart, alegi o parola optima la raportul securitate/usurinta_in_memorarea-ei. Sigur, din punct de vedere exclusiv (outside the box), orice cont e probabil ca la un anumit moment in timp sa fie spart, indiferent ca cineva ar avea sau nu un beneficiu direct din aceasta.

Astfel, consider ca cele mai importante 3 reguli - dar nu singurele - in alegerea unei parole, sunt:

1. Parola trebuie sa fie cat mai lunga.
Timpul in care poti sparge o parola creste - dupa cum spunea si colegul meu - enorm de mult, odata cu cresterea lungimii ei; si indiferent de tipul contului pe care il detii, o parola mai lunga e de preferat unei parole scurte;

2. Compusa din minim 3 tipuri de caractere diferite
O parola cu un singur tip de caractere (e.g. doar litere mici) e mai usor, evident, de spart, decat o parola care contine 3+ tipuri de caractere (litere mari, litere mic, cifre, caractere speciale, etc).

3. De preferat ca orice legatura a parolei cu realitatea sa fie cat mai abstracta
Legatura cu realitatea a unei parole da extrem e multe indicii, mai multe decat lungimea ei sau tipurile de caractere din ea. Adica, daca ii spui cuiva 'parola mea e compusa din litere mari si litere mici' dar nu ii dai lungimea sa zicem (=2 hinturi), e mai putin ajutator decat daca ii spui 'are legatura cu pisica mea' si tu imediat ghicesti ca parola e "tobi2007" cunoscand persoana si felul in care isi pune parolele. Astfel, cu cat mai abstracta legatura cu realitatea, cu atat mai greu e de spart o parola.
De exemplu, parola poate fi o combinatie dintre ora, minutul si secunda cand ti-ai facut contul combinat cu initialele persoanei care ti-a recomandat siteul, anul ei de nastere si poate antepenultimul film la care te-ai uitat inainte sa il faci.

Deasupra la toate 3 regulile, as adauga ca si nota faptul ca e bine ca parolele sa le ti minte, nu sa le notezi toate parolele de 25 de caractere intr-un fisier word parolat cu 'tobi2007' sau itnr-un programel de memorare a parolelor si sa il ti pornit cand navighezi pe Internet. Foloseste-ti memoria sa iti memorezi parolele, si nu iti va parea rau dupa 15 ani dupa ce toate conturile prietenilor tai au fost sparte mai devreme sau mai tarziu, si tu inca n-ai nimic.

Si ca si incheiere, ceea ce recomanda oricine care lucreaza in domeniu, schimba-ti parola periodic.

Ma bucur sa vad ca securitatea datelor nu e un lucru de ignorat iar parolele sunt luate foarte in serios de voi. Acu' sa vedem cum va descurcati la urmatorul task

Topic redeschis. Sa inceapa votarea

Conform regulamentului (Art 3.4), publicul decide 40% din scorul final - adica veti da o nota intre 0 si 40. Pentru un rezultat corect, va trebui sa prezentati punctajul pentru fiecare participat la task. Asadar, prezentati punctajul de forma:

30 Puncte: Userul X
10 Puncte: Userul Y
40 Puncte: Userul Z

So, let's do it

40 puncte: begood.
35 puncte: breakdown.
30 puncte: dj_yry, rila
10 puncte: x6IT32.

Eu nu imi permit sa imi acord punctaj.

Criterii de punctare personale :

• Coerența ideilor în scris
• Numărul de idei diferite exprimate pe cerință raportat la alți participanți
• Notă personală privind calitatea informației
• Nivelul de ontopic

Punctaj acordat pe utilizator/sarcină:

Puncatj	Utilizatori	Observații
5 puncte	x6IT32
15 puncte	dj_yry
20 puncte	beegood	am numărat doar 2 principii + o demonstrație
25 puncte	Dieliric, breakdown
35 puncte	rila	fluent, coerent cu fiecare propoziție - o idee nouă

[Punctaj realizat și reglat pentru a susține o distribuție gaussiană cu caracter analizat: numărul de puncte/individ tradus în nivel de abordare cerință/individ.]

Am incercat sa acord punctajul din urmatoarele puncte de vedere:

• complet - atat tehnic cat si non-tehnic; dar, din moment ce parolele folsesc in egala masura, atat IT-istilor cat si non IT-istilor - poate acesotra cu atat mai mult, am considerat ca articolul trebuie sa fie intai non-tehnic si apoi tehnic; deci, explicatiile non-tehnice au avut prioritate
• incardarea oarecum in limita a 3 principii de baza
• scurte definitii sau link-uri la definitii ale termenilor de specialitate folositi

20 puncte   x6IT32   (aproximativ nota 5, pentru ca a fost la subiect )
40 puncte   Dieliric   (e cam tot ce are nevoie un utilizator mediu sa stie despre parole, ca prim pas)
35 puncte   dj_yry   (incomplet)
35 puncte   rila           (incomplet)
30 puncte   begood      (complex dpdv tehnic, dar prea putine informatii non-tehnice, neincadrare in delimitarea celor 3 principii)

40 Puncte: rila, begood
30 Puncte: breakdown, Dieliric
20 Puncte: dj_yry
10 Puncte: x6IT32

Dupa noua regula de punctare:
x6IT32: 2*35 + 10 = 80 Puncte
Dieliric: 2*65 + 30 = 160 Puncte
dj_yry: 2*80 + 20 = 180 Puncte
rila: 2*100 + 40 = 240 Puncte
begood: 2*90 + 40 = 220 Puncte
breakdown: 2*60 + 30 = 150 Puncte

Felicitari, rila!