Hej.

Tänkte bara skicka in ett litet tips här, då jag anser att flera är här inne och läser än på tips delen, samt så vill vill jag föra en liten kul didkusion runt ämnet.

Jag gjorde nyligen en Brute Force attack mot min lokala dator. Det tog hela 6 min och 41 secunder att få fram lösenordet till mitt Adminkonto. Då bestod det av Stor bokstav fyra siffror och en liten bokstav.
Så här såg det ut: A6897b
Vanligtvis brukar man (för att öka säkerheten) även koppla in en liten Salt i det hela vilket MS inte gjort i Windows, Den så kallad salt de nyttjar (om man nu får kalla det Salt) är att ta med Admin SID när de gör en hash på Lösenordet. Vilket alltid är samma, "S-1-5-*****..." eller nått. Det unika är slutet av sid:en där du har varierande siffror per maskin. Får man tag i SAM filen där all data finns är det bara att köra på. Samma gäller om någon skulle komma åt hashad data som ligger i en databas. Lätt hänt med SQL-Injection (om man råkat göra en tabbe.)

Det finns ingen tidsfördröjning i windows login när du skriver ett lösen. Det enda som dyker upp är en liten message box som du enklet med return tangenten stänger och snabbt kan testa nästa lösen. Man borde lagt in en väntan på ca 3 sec innan man får skriva nytt lösen, då skulle min Brute force på 6min och 41 sec ta mycket längre tid. Nu han jag inte se hur många tester den gjorde för just Admin kontot. Men skall försöka räkna ut detta vid senare tillfälle. Det trevliga är att genom brute force attacker kan man lätt räkna ut ett "bäst före datum" för ett lösen. Något man sällan pratar om när det gäller säkerhet... :-( Alltså hur ofta man behöver byta det och hur det bör formas för att en brute force skall ta lång tid på sig. Att blanda in special tecken som _ etc tar mycket längre tid. Sitter just nu och gör ett test mot samma lösen fast med flera tecken. Förra testat var bara med A-Z och 0-9. Återkommer så fort jag fått ett svar på dess tid.

Förutom att få reda på "bäst före datum" för ett lösen så får man även en hel del idéer hur ett säkert lösenord skall formas samt hur man skall förlänga en brute force attack. Alltså få fram ett så kallat "Bäst före datum" på sitt lösen.

Ni som nu bygger loginformulär till applicationer kan skydda er enklet. Passport har ett smidigt skydd. Efter 3 försök så får du inte logga in på 10 sekunder. Det gör att Brute Force mot Passport skulle ta ottroligt lång tid. Även med simpla lösen som YXA, GLASS, HUND etc...

Mitt tips till er är att göra en liknande hantering. Eller på något sätt sätta en fördröjning när man angivit fel information. Att skicka snabba request till ett form är ottroligt lätt, vilket nästan vem som skulle kunna göra.

I .Net 2.0 kommer man få med en loginkontrol där man kan sätta en FailurAction vilket underlättar denna hantering. Men än så länge är vi ju inte där och får då bygga på bästa sätt själva...

För gärna diskusionen vidare... Kul att få upp lite prat och synpunkter kring detta.

Mvh Johan

Det bör nämnas att du med enkla regelverk i Windows kan sätta efter hur många felaktiga inloggningar som ditt konto ska deaktiveras och sedan också efter vilket tidsintervall som det ska slås på igen... Testa gärna det och gör en brute-force attack igen och berätta vilket resultat du får. ;)

Jag och Herbjörn Wilhelmsen håller på med ett inledande försök att skriva en gemensam artikel om lagring av lösenord, hashat, saltat och också med regler för tidigare lösenord.

Mvh

JohanL

Så sant så... Men inte som default vilket är ottroligt dåligt, och det är nog inte många svenssons (de som oftast blir missbrukade) som vet om detta. En klientmaskin så som XP bör ju ha maximal säkerhet påslagen. (Det bör förvisso en server också ha.) men just XP där svensson sitter och leker.

Kul att det skrivs en artikel om lösen med salt etc... Kan ju nämnas att i ASP .Net 2.0 så kommer man ha detta stödet för sina applikationer. Lite trist dock att de bakar in sånt i ramverket. Hade velat se det som ett löst Add-in. Då många redan byggt liknande lösningar.

Säg gärna till när artiklen är klar. Kan vara kul att läsa.

Ps. Vem är Herbjörn Wilhelmsen? Ds.

Mvh Johan