Login: Sicherheit aufbohren? / Stichwort GPU-Hash
- trompetenkaefer
- Beiträge: 1767
- Registriert: 24.09.2007 09:40:16
-
Kontaktdaten:
Login: Sicherheit aufbohren? / Stichwort GPU-Hash
Hallo Forum,
nachdem ich diesen Artikel hier gelesen hab:
http://www.gulli.com/news/moderne-grafi ... 2011-06-06
Hab ich mir überlegt, dass man sein (natürlich verschlüsseltes System) doch über eine Verlängerung der Loginzeit absichern könnte:
Wenn ich mich einlogge dauert es z. B. 2 Sekunden bei falscher Passworteingabe bis der Loginbildschirm wieder freigegeben wird, nach 5 Fehlversuchen dauert es 2^2 Sekunden bis der Loginschirm freigegen wird, nach 7 Versuchen dann 2^3 Sekunden usw.
Wie wäre so etwas zu realisieren, bei Tante Google konnte ich hierzu nichts finden, hat jemand Ideen?
Gerade für portabele Geräte wäre das doch eine Möglichkeit, sich gegen Brute-Force-Attacken zu schützen...
nachdem ich diesen Artikel hier gelesen hab:
http://www.gulli.com/news/moderne-grafi ... 2011-06-06
Hab ich mir überlegt, dass man sein (natürlich verschlüsseltes System) doch über eine Verlängerung der Loginzeit absichern könnte:
Wenn ich mich einlogge dauert es z. B. 2 Sekunden bei falscher Passworteingabe bis der Loginbildschirm wieder freigegeben wird, nach 5 Fehlversuchen dauert es 2^2 Sekunden bis der Loginschirm freigegen wird, nach 7 Versuchen dann 2^3 Sekunden usw.
Wie wäre so etwas zu realisieren, bei Tante Google konnte ich hierzu nichts finden, hat jemand Ideen?
Gerade für portabele Geräte wäre das doch eine Möglichkeit, sich gegen Brute-Force-Attacken zu schützen...
Grüße
trompetenkaefer - Mein Blog http://trompetenkaefer.wordpress.com/
trompetenkaefer - Mein Blog http://trompetenkaefer.wordpress.com/
Re: Login: Sicherheit aufbohren? / Stichwort GPU-Hash
Das kann man vermutlich machen, aber evtl. ist es nicht soo schoen, wenn man sich selbst anmelden moechte und erst mal 2^20 Sekunden warten muss...
- trompetenkaefer
- Beiträge: 1767
- Registriert: 24.09.2007 09:40:16
-
Kontaktdaten:
Re: Login: Sicherheit aufbohren? / Stichwort GPU-Hash
Das ganze scheint sich wohl über die Datei /etc/login.defs realisieren zu lassen.
Wie ich das jetzt aber mit den Anzahl der Loginversuche und den Potenzen hinbekomme ist mir noch nicht klar...
@ Liffi:
Man sollte nach spätestens 2 Versuchen seine CAPS-LOCK-Taste überprüfen
Wie ich das jetzt aber mit den Anzahl der Loginversuche und den Potenzen hinbekomme ist mir noch nicht klar...
@ Liffi:
Man sollte nach spätestens 2 Versuchen seine CAPS-LOCK-Taste überprüfen
Grüße
trompetenkaefer - Mein Blog http://trompetenkaefer.wordpress.com/
trompetenkaefer - Mein Blog http://trompetenkaefer.wordpress.com/
Re: Login: Sicherheit aufbohren? / Stichwort GPU-Hash
Das betrifft afair aber nur lokale Logins. Dann hat man vermutlich groessere Probleme .trompetenkaefer hat geschrieben:Das ganze scheint sich wohl über die Datei /etc/login.defs realisieren zu lassen.
EDIT::Ansonsten pam und pam_tally. Da kannst du zwar nicht mit Potenzen arbeiten, aber fuer eine Stunde (oder eine andere Zeiteinheit) den Login sperren (nach einer bestimmten Anzahl Fehlversuche).
Zuletzt geändert von Liffi am 07.06.2011 09:19:28, insgesamt 1-mal geändert.
- trompetenkaefer
- Beiträge: 1767
- Registriert: 24.09.2007 09:40:16
-
Kontaktdaten:
Re: Login: Sicherheit aufbohren? / Stichwort GPU-Hash
Ja der SUPERGAU , mir gehts ja darum, wenn jemand physischen Zugriff auf das Gerät hat. SSH kann man ja z. B. mit fail2ban absichern.Liffi hat geschrieben:Das betrifft aber nur lokale Logins. Dann hat man vermutlich groessere Probleme .
Edit: Danke, PAM scheint so in die Richtung zu gehen
Grüße
trompetenkaefer - Mein Blog http://trompetenkaefer.wordpress.com/
trompetenkaefer - Mein Blog http://trompetenkaefer.wordpress.com/
- spiralnebelverdreher
- Beiträge: 1298
- Registriert: 23.12.2005 22:29:03
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Frankfurt am Main
Re: Login: Sicherheit aufbohren? / Stichwort GPU-Hash
Der Ausgangspunkt dieses Gulli Artikels ist folgender: Wenn der Hashwert deines Passwortes bekannt ist, kann mit Hilfe geeigneter SW und einer passenden GPU ein dazu passendes Passwort in akzeptabler Zeit errechnet werden. Gegen diesen Angriff hilft eine Verlängerung der Loginabstandszeiten nicht, denn das errechnete Passwort passt schon beim ersten Versuch.trompetenkaefer hat geschrieben:Hallo Forum,
nachdem ich diesen Artikel hier gelesen hab:
http://www.gulli.com/news/moderne-grafi ... 2011-06-06
Hab ich mir überlegt, dass man sein (natürlich verschlüsseltes System) doch über eine Verlängerung der Loginzeit absichern könnte:
Deine Gegenmaßnahme (verschlüsseltes System) hilft dagegen sehr, denn es erschwert denn Zugang zum Hashwert doch heftig.
Um eine Brute-Force Attacke mit sturer Kombiniererei von Buchstaben und Zahlen (ohne Wörterbuch) durchzuführen ist keine GPU notwendig, eine Verlängerung der Loginzeiten hilft aber als Gegenmaßnahme wenn der Angreifer seeehr viel Zeit hat.. Bei 2s Abstand können in 28 Tagen rund 1,2 Millionen Passwörter ausprobiert werden. Falls dein Passwort aus sieben Kleinbuchstaben besteht gibt es ca 8 Milliarden Möglichkeiten. Die Wahrscheinlichkeit des Erfolges ist damit also ab einer bestimmten Passwortlänge sehr bescheiden.
Fazit: Wähle ein gutes Passwort (nicht in Wörterbüchern enthalten und keine simplen Kombinationen wie autobahn123) ausreichender Länge und lass den Rest wie er ist.
- spiralnebelverdreher
- Beiträge: 1298
- Registriert: 23.12.2005 22:29:03
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Frankfurt am Main
Re: Login: Sicherheit aufbohren? / Stichwort GPU-Hash
Das taugt für eine Denial-of-Service Attacke gegen dich. Wenn dich jemand ärgern will, jagt er die Einlogabstände durch stumpfes wiederholtes Eingeben eines falschen Passwortes so nach oben, dass du deinen Rechner erst Stunden oder Tage später wieder benutzen kannsttrompetenkaefer hat geschrieben:Wenn ich mich einlogge dauert es z. B. 2 Sekunden bei falscher Passworteingabe bis der Loginbildschirm wieder freigegeben wird, nach 5 Fehlversuchen dauert es 2^2 Sekunden bis der Loginschirm freigegen wird, nach 7 Versuchen dann 2^3 Sekunden usw.
- trompetenkaefer
- Beiträge: 1767
- Registriert: 24.09.2007 09:40:16
-
Kontaktdaten:
Re: Login: Sicherheit aufbohren? / Stichwort GPU-Hash
Stimm, das würde gehen wenn ssh läuft, bei meinem betreffenden System hab ichs aber deaktiviert.
Oder man setzt die Abstände hoch, bei nem starken Passwort würden auch 100, 200 , 500 Versuche gehen...
Ich gebs zu, so ganz ausgegoren ist die Idee noch nicht. Ich befinde mich noch in der Planungsphase
Oder man setzt die Abstände hoch, bei nem starken Passwort würden auch 100, 200 , 500 Versuche gehen...
Ich gebs zu, so ganz ausgegoren ist die Idee noch nicht. Ich befinde mich noch in der Planungsphase
Grüße
trompetenkaefer - Mein Blog http://trompetenkaefer.wordpress.com/
trompetenkaefer - Mein Blog http://trompetenkaefer.wordpress.com/
Re: Login: Sicherheit aufbohren? / Stichwort GPU-Hash
Sowas ging mir auch schonmal durch den Kopf.
Besser wär es vielleicht, wenn nach 5 fehlerhaften Logins eine einfache Rechenaufgabe gestellt wird, die man beantworten muss.
Oder eine Sicherheitsfrage...
Aber sowas gibt es vermutlich nicht für Debian ?!?
Besser wär es vielleicht, wenn nach 5 fehlerhaften Logins eine einfache Rechenaufgabe gestellt wird, die man beantworten muss.
Oder eine Sicherheitsfrage...
Aber sowas gibt es vermutlich nicht für Debian ?!?
- spiralnebelverdreher
- Beiträge: 1298
- Registriert: 23.12.2005 22:29:03
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Frankfurt am Main
Re: Login: Sicherheit aufbohren? / Stichwort GPU-Hash
Man braucht es eigentlich auch nicht.Huck Fin hat geschrieben:Sowas ging mir auch schonmal durch den Kopf.
Besser wär es vielleicht, wenn nach 5 fehlerhaften Logins eine einfache Rechenaufgabe gestellt wird, die man beantworten muss.
Oder eine Sicherheitsfrage...
Aber sowas gibt es vermutlich nicht für Debian ?!?
Wenn Du ein gutes Passwort mit mindestens 8 Zeichen wählst und den Abstand zwischen zwei Logins auf 2 Sekunden setzt, gibt der typische Angreifer aus dem Internet bei einzelnen Nutzernamen bald auf. Langes Rumprobieren dauert ihm viel zu lange, er sucht leichte Beute.
Falls Du den ssh Dienst aktiviert hast und dieser aus dem Internet erreichbar ist, kannst Du dir ja mal das Logfile auth.log ansehen. Da erkennst Du das Muster des 0815-Angriffs deutlich. Es werden vermutete Standard-Accounts (root, tester1, tester2, student, student1, john, jane, mysql, ...) durchprobiert, einige Passworte ausprobiert (vermutlich Passwort=Nutzername und leichte Abwandlungen) und dann kommt schon gleich der nächste vermutete Nutzername dran.
Re: Login: Sicherheit aufbohren? / Stichwort GPU-Hash
Ich habe nur OpenVPN offen und den Port 80 für Apache
Den Apache sichere ich mit htaccess ab.
OpenVPN läuft über Zerti's...
Wo stelle ich denn das ein mit dem Abstand für die Logins ?
Ob ein Passwort mit 8 Zeichen reicht ?!?
lies das mal...
http://www.1pw.de/brute-force.html
Den Apache sichere ich mit htaccess ab.
OpenVPN läuft über Zerti's...
Wo stelle ich denn das ein mit dem Abstand für die Logins ?
Ob ein Passwort mit 8 Zeichen reicht ?!?
lies das mal...
http://www.1pw.de/brute-force.html
- spiralnebelverdreher
- Beiträge: 1298
- Registriert: 23.12.2005 22:29:03
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Frankfurt am Main
Re: Login: Sicherheit aufbohren? / Stichwort GPU-Hash
Naja, da steht halt, dass der schnellste Einzel-PC derzeit 2 Milliarden Schlüssel pro Sekunde generieren kann. Die weiteren Tabellen bauen auf diesem Wert auf. Kann (und will) dein Rechner 2 Milliarden Login-Versuche pro Sekunde beantworten? Wäre dein Netzwerk in der Lage, diese Menge zu transportieren?Huck Fin hat geschrieben:Ich habe nur OpenVPN offen und den Port 80 für Apache
Den Apache sichere ich mit htaccess ab.
OpenVPN läuft über Zerti's...
Wo stelle ich denn das ein mit dem Abstand für die Logins ?
Ob ein Passwort mit 8 Zeichen reicht ?!?
lies das mal...
http://www.1pw.de/brute-force.html
Wo du das mit dem Abstand einstellst, weiß ich nicht sicher ... vielleicht in /etc/pam.d/login. Bei mir sind da 3 Sekunden (3000000 Mikrosekunden) eingetragen und so fühlt sich auch der Abstand auf der Kommandozeile bei falschem Passwort auch an.
Mein obiges Rechenexempel mit 2s Abstand kommt auf 1,2 Mio ausprobierbare Passwörter in 28 Tagen, das ist dann schon was anderes als 2 Milliarden pro Sekunde.
Aber wenn Du nicht benötigte Dienste gar nicht laufen hast, ist das natürlich noch besser als sich auf das Gesetz der Unwahrscheinlichkeit zu verlassen.
Re: Login: Sicherheit aufbohren? / Stichwort GPU-Hash
Man kann bei fail2ban auch IP-Adressen whitelisten. So kann man über einen oder mehrere vertrauenswürdige Rechner selbst im Falle einer DOS-Attacke "rein".
mfg, pgs
mfg, pgs