Regenboog krakers gebruiken 500GB aan wachtwoorden
De afgelopen twee jaar hebben drie ondernemende hackers elf gigantische tabellen met gegevens samengesteld die gebruikt kunnen worden voor het vinden van veel voorkomende wachtwoorden. De tabellen, bij elkaar 500GB, zijn de basisgegevens van een techniek die bekend staat als "rainbow cracking", waarbij grote hoeveelheden data gebruikt wordt om hashes, de unieke codes voor het obfusceren van wachtwoorden, te achterhalen.
Vorige week presenteerde het trio hun dienst, genaamd RainbowCrack Online. De site, die een soort Google voor Rainbow cracking moet worden, laat gebruikers een wachtwoord hash toevoegen die dan gekraakt wordt. "Meestal denken mensen dat complexe, maar korte wachtwoorden erg veilig zijn, zoiets als "$FT%_3^," maar onze tabellen kunnen dit soort wachtwoorden makkelijk aan" zegt Travis, een van de oprichters die niet wil dat zijn achternaam bekend wordt.
Security Focus gaat in dit artikel in op de nieuwe online dienst en techniek van Rainbow cracking.
paar honderd gigabyte aan rainbow tables.
Gewoon sluiten die tent...............!
En daarom gebruik je dus salting (http://en.wikipedia.org/wiki/Salt_(cryptography))
Exact!
Een limiet van 3 foute wachtwoorden en dan een login lock van 1 uur lijkt
mij prima. Vervolgens lekker schrijven naar een log en opzoeken :D
-R.
Wachtwoord mannetjeskoe is ook een goede dijenkletser...
Of ********
;-)
beter een fileserver hacken dan met een snelle cpu en ze daar op
genereren :)
Wachtwoord mannetjeskoe is ook een goede dijenkletser...
En dat maak je een sterke dijenkletser door enkele
verbeteringen aan te brengen: m@Nn3tj:sK0E
Het moet niet eens mogelijk zijn die data te gebruiken.
Een limiet van 3 foute wachtwoorden en dan een login lock
van 1 uur lijkt
mij prima. Vervolgens lekker schrijven naar een log en
opzoeken :D
-R.
kunnen doen? Dan helpt een lock-out policy niet hoor..
Wel eens bedacht dat je het brute-force'n off-line zou
kunnen doen? Dan helpt een lock-out policy niet hoor..
Nee, niet aan gedacht.
Waarom zou dat niet werken?
Wel eens bedacht dat je het brute-force'n off-line zou
kunnen doen? Dan helpt een lock-out policy niet hoor..
Nee, niet aan gedacht.
Waarom zou dat niet werken?
Omdat je op die manier niet aangelogd wordt en dus ook niet geblokkeerd
kunt worden.
In bedrijven komt het vaak voor dat iemand via een NET USE-commando
bepaalde data in een ander (gekoppeld) domein benadert. Of zelf z'n PC
host en alleen via NET USE-commando's de data benadert, om zo de user-
policy te omzeilen.
PeZal
NET USE-commando bepaalde data in een ander (gekoppeld)
domein benadert. Of zelf z'n PC host en alleen via NET
USE-commando's de data benadert, om zo de user-policy te
omzeilen.
wel degelijk in..
Off-line wil zeggen dat ik een kopie maak van de SAM
database en op m'n gemak deze off-line ga zitten kraken..
Ja, je hebt admin rechten nodig om dat te kunnen doen..
Heeft het off-line kraken dan nog zin? Ja, je kan zo de
wachtwoorden achterhalen van andere admin accounts, service
accounts, backup accounts etc.. Deze accounts hebben vaak
net iets meer rechten en lopen niet zo in de kijker als je
daarmee inlogt..
Maar het moet toch al niet mogelijk zijn een complete database te kunnen
rippen? Dan heb je in het besturingssysteem al een "lek" zitten, toch?
-R.
In bedrijven komt het vaak voor dat iemand via een
NET USE-commando bepaalde data in een ander (gekoppeld)
domein benadert. Of zelf z'n PC host en alleen via NET
USE-commando's de data benadert, om zo de user-policy te
omzeilen.
Sorry, dit stukje tekst had hier niet moeten staan. Erg verwarrend ...
database te kunnen
rippen? Dan heb je in het besturingssysteem al een "lek"
zitten, toch?
De reden dat wachtwoorden gehashed worden opgeslagen is
omdat de hacker dan, ook al komt hij achter de hash, niet
achter het password komt. Dat kan om allerlei redenen nuttig
zijn - simpel voorbeeld: gebruik jij voor iedere site,
account en machine een verschillend password? Juist.
Maar zoals eerder gezegd, als je gebruik maakt van Salting
ben je in principe bestand tegen attacks met rainbow tables.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.