Dobrze posól swoje hasło (z notatkami)

Transcript

1. Dobrze posól swoje hasło Skróty haseł w webie Leszek Krupiński

   4developers 2015

2. LEAFNODE * Konsulting - architektura, wydajność, bezpieczeństwo * PHPers, WebClusters

   - prezentacje workflow, architektura, wydajność, narzędzia * Facebook: PHPers, PHPers:Jobs
3. None

4. Wstęp Włamanie na serwer to tylko kwestia czasu. Z różnych

   przyczyn - od nudy przez podpadnięcie komuś po wartościowe zasoby

5. User credentials w web aplikacjach Bardzo powszechna funkcja. Czasem outsourcowana

   - logowanie przez facebooka/twittera/google

6. OWASP Top Ten #1: Injection #6: Sensitive Data Exposure Open

   Web Application Security Project

7. Rule #1: No Plain Text

8. Hashing

9. Funkcja jednokierunkowa

10. słoń żaba żyrafa kot pies wąż 1 2 3 6

    5 4

11. Skrót to nie szyfrowanie

12. * szyfrowanie jest dwukierunkowe * skrót prowadzi do utraty danych

13. Skrót kryptograficzny …bo strlen to też funkcja skrótu md5, sha1

14. Idealnie: funkcja różnowartościowa funkcja, której każdy element przeciwdziedziny przyjmowany jest

    co najwyżej raz.

15. Wysoka zmienność

16. >>>  sha1('Quick  brown  fox  jumps  over  the  lazy  dog')  

    =>  "4ba0c2b764daf33a75f06e4ce4dfdce283aa9a9c"   >>>  sha1('Quick  brown  fox  jumps  over  The  lazy  dog')   =>  “c47983041ddb867c60790f93f681d74fc971ff47"   >>>  decbin(ord('T'))   =>  "1010100"   >>>  decbin(ord('t'))   =>  "1110100" Przy zmianie pojedynczego bitu całkowita zmiana wyniku

17. Jak używać w aplikacji

18. username = Request->get('username'); password = Request->get('password'); hash = md5(password); user

    = Repository->getUser(username, hash); if (user) { this->status = LOGGED_IN; return; } else { throw new BadPasswordException(); } Serwer nie przechowuje oryginalnego hasła. Do logowania nie musi znać oryginalnej postaci.

19. Jak się łamie skróty?

20. Brute Force

21. Zabezpieczenia aplikacji Poprzez aplikację nie powinno sie dać przeprowadzić ataku

    brute force - tarpitting, limity

22. 95 znaków 6 pozycji Ile jest wszystkich możliwych kombinacji dla

    6-znakowego hasła?

23. 735 091 890 625 6^95 ~= 735 miliardów

24. Najpierw łatwe hasła “low hanging fruits”

25. Najpopularniejsze 6-znakowe hasło?

26. 123456

27. razem: ~900k user=pass: 5022 user=pass lowercase: 6721 pass zawiera username:

    30782 1234: 4172 12345: 3517 123456: 2954 1234567: 161 12345678: 267 123456789: 409 1234567890: 158 same cyfry: 97259 Przykładowa analiza ~900k haseł

28. Atak słownikowy

29. Atak hybrydowy * l33t speak * prefiksy, postfiksy cyfr i

    symboli * daty

30. Reverse Lookup Tables

31. czy md5(“jabłko”) jest na liście? … czy md5(“gruszka”) jest na

    liście? … czy md5(“banan”) jest na liście? … czy md5(“pomarańcza”) jest na liście? … czy md5(“arbuz”) jest na liście? … czy md5(“brzoskwinia”) jest na liście? … nie tak (użytkownik “janek”) nie tak (użytkownicy “zosia”, “franek”) tak (użytkownik “marek”) nie

32. Lookup Table

33. Wyliczone wcześniej skróty

34. password | hash --------------------------------------------- a | 0cc175b9c0f1b6a831c399e269772661 aa | 4124bc0a9335c27f086f24ba207a4912

    aaa | 47bce5c74f589f4867dbd57e9ca9f808 aaaa | 74b87337454200d4d33f80c4663dc5e5 (...) ab | 187ef4436122d1cc2f40dc2b92f0eba0 aba | 79af87723dc295f95bdb277a61189a2a abaa | 537964105de1063e88b2fc126750d16e (...) cat | d077f244def8a70e5ea758bd8352fcd8 (...) dog | 06d80eb0c50b49a509b49f2424e8c805 (...)

35. Minus: rozmiar

36. 7 znaków == 1.5 Pb

37. Hash chains

38. Space/time tradeoff

39. aaaaaa 0b4e7a cdadro 8b8031 umehao R H H R PASSWORD

    CANDIDATE HASH PASSWORD CANDIDATE PASSWORD CANDIDATE HASH

40. Funkcja redukcyjna * kiepska: ostatnie 6 znaków hashu * dobra:

    baza słów[pierwsze 64 bity % słów w bazie]

41. Przeszukiwanie

42. P 1 H 1 P 2 H 2 P 3

    dog e0d13d cat 4e85aa lion hawk 867dbd eagle 399e26 pigeon ball tennis basket 23dc29 b92f0e party event ball 70e5ea 33f80c 23dc29

43. P 1 H 1 P 2 H 2 P 3

    dog e0d13d cat 4e85aa lion hawk 867dbd eagle 399e26 pigeon ball tennis basket 23dc29 b92f0e party event ball 70e5ea 33f80c b92f0e

44. P 1 H 1 P 2 H 2 P 3

    dog e0d13d cat 4e85aa lion hawk 867dbd eagle 399e26 pigeon ball tennis basket 23dc29 b92f0e party event ball 70e5ea 33f80c 7a68a0

45. Kolizje

46. P 1 H 1 P 2 H 2 P 3

    dog e0d13d cat 4e85aa lion hawk 867dbd eagle 399e26 pigeon ball tennis basket 23dc29 b92f0e party event ball 70e5ea 33f80c

47. Rainbow Tables

48. dog e0d13d cat 4e85aa lion d023a3 hawk 867dbd eagle 399e26

    pigeon 89f486 ball tennis basket 23dc29 b92f0e 5b9c0f party event ball 23dc29 70e5ea 33f80c tiger d023a3 sparrow 89f486 volley 5b9c0f venue 23dc29 H H H H H H H H H H H H H H H H R1 R1 R1 R1 R2 R2 R2 R2 R3 R3 R3 R3 base foot room falcon R4 R4 R4 R4

49. Przeszukiwanie

50. dog e0d13d cat 4e85aa lion d023a3 hawk 867dbd eagle 399e26

    pigeon 89f486 ball tennis basket 23dc29 b92f0e 5b9c0f party event ball 23dc29 70e5ea 33f80c tiger d023a3 sparrow 89f486 volley 5b9c0f venue 23dc29 H H H H H H H H H H H H H H H H R1 R1 R1 R1 R2 R2 R2 R2 R3 R3 R3 R3 base foot room falcon R4 R4 R4 R4 89f486 foot 70e5ea R4 R4 leg 70e5ea R3 box R4 yellow H 1043da 70e5ea R2 cat H 4e85aa R3 sparrow R3 H 89f486 R4 foot

51. chain: 71 000 storage: 64GB

52. Salt

53. md5(salt+pass)

54. Unikalny salt * salt powinien być przechowywany razem z hasłem

    * nie musi być tajny - bo nie to stanowi jego cel * używając tej samej soli do wszystkich haseł można wygenerować dedykowane rainbow tables

55. $6dbu$acbd18db4cc2f85cedef

56. Podstawowa cecha: unikalność * brak możliwości wpływu na wygenerowany seed

    przez atakującego * CSPRNG: potencjalny DoS * PHP: mcrypt_create_iv + MCRYPT_DEV_URANDOM

57. Minimum 128 bitów

58. Algorytmy MD5, SHA-1,SHA-2, SHA-256, SHA-512 *

59. Wada: szybkość

60. 50 milionów na sekundę średniej klasy laptop z poprzedniej generacji

    (GPU)

61. 6-znakowe: 4 godziny 7-znakowe: 17 dni 8-znakowe: 4,5 roku

62. 180 miliardów na sekundę Dedykowany do łamania haseł klaster 25

    GPU (2012) Moc obliczeniową można wynajmować na godziny.

63. 6-znakowe: 4 sekundy 7-znakowe: 6 minut 8-znakowe: 10 godzin

64. Nie wymyślaj

65. str_rot13(md5(pass +sha1(salt+pass))) +md5(sha512(pass)) * potencjalne błędy w algorytmach przy przekazywaniu

    pewnych danych * zmniejszenie entropii * zostaw to specjalistom

66. Lepsze algorytmy

67. Key stretching

68. Iteracja skrótu

69. 6-znakowe: 17 minut 7-znakowe: 1 dzień 8-znakowe: 124 dni n=1000

    Ale to teoria - naiwną iterację można zrównoleglić, zwłaszcza przy użyciu dedykowanego sprzętu, i całkowicie znieść zalety iteracji

70. PBKDF2 Password-Based Key Derivation Function 2 Algorytm korzystający z podanego

    algorytmu funkcji skrótu

71. 6-znakowe: 28 dni 7-znakowe: 7 lat 8-znakowe: 700 lat

72. bcrypt Dedykowany algorytm hashowania oparty na BlowFish

73. 6-znakowe: 120 dni 7-znakowe: 31 lat 8-znakowe: 3000 lat

74. Strojenie liczby iteracji Bo różne komputery mają różną moc obliczeniową

75. Ile użytkownik zniesie

76. Adaptacja do zmian Prawo Moore’a

77. Alternatywa: key strengthening Losowy salt

78. $2y$10$.nIBGM87poP6dbui4ouWNe2dnQUMKFagOz.v1TVDJO63hIZ/XTWWG bcrypt

79. Dodatkowe bezpieczeństwo: klucz symetryczny AES-128

80. …ale nie jak Adobe http://bit.ly/adobe-passwords Wyciek 153M haseł

81. None

82. Timing Safe Comparison PHP od 5.6: hash_equals

83. Przyszłość: obciążenie pamięci

84. Dobre rady

85. Hasła

86. https://xkcd.com/936/ Zamiast “niby” trudnych haseł (które faktycznie są proste do

    złamania) lepiej użyć losowych, bzdurnych zlepków słów.

87. https://diogomonica.com/posts/password-security-why-the-horse-battery-staple-is-not-correct/ Hasła powinny być całkowicie losowe - atakujący może na

    podstawie wiedzy o użytkowniku lepiej celować w potencjalne hasła

88. Używaj długich, łatwych do zapamiętania haseł. Nie przechowuj haseł plain-text.

    Używaj salt. Salt ma być indywidualny. Salt ma być losowy. Salt ma być długi. Nie używaj dziwnych funkcji skrótu. Używaj iteracyjnych, dedykowanych algorytmów skrótu. Używaj bezpiecznego porównywania ciągów. Wymuszaj politykę haseł na użytkownikach, ale nie przesadzaj. Zmieniaj hasła. Nie używaj tego samego hasła w wielu serwisach. Rozważ zastosowanie biblioteki do generowania skrótu. Z czasem zwiększaj liczbę iteracji. Miej plan awaryjny.

89. Pytania?

90. Dziękuję @leafnode http://speakerdeck.com/leafnode/