Login: Sicherheit aufbohren? / Stichwort GPU-Hash

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Benutzeravatar
trompetenkaefer
Beiträge: 1767
Registriert: 24.09.2007 09:40:16
Kontaktdaten:

Login: Sicherheit aufbohren? / Stichwort GPU-Hash

Beitrag von trompetenkaefer » 07.06.2011 08:15:17

Hallo Forum,

nachdem ich diesen Artikel hier gelesen hab:
http://www.gulli.com/news/moderne-grafi ... 2011-06-06

Hab ich mir überlegt, dass man sein (natürlich verschlüsseltes System) doch über eine Verlängerung der Loginzeit absichern könnte:

Wenn ich mich einlogge dauert es z. B. 2 Sekunden bei falscher Passworteingabe bis der Loginbildschirm wieder freigegeben wird, nach 5 Fehlversuchen dauert es 2^2 Sekunden bis der Loginschirm freigegen wird, nach 7 Versuchen dann 2^3 Sekunden usw.

Wie wäre so etwas zu realisieren, bei Tante Google konnte ich hierzu nichts finden, hat jemand Ideen?
Gerade für portabele Geräte wäre das doch eine Möglichkeit, sich gegen Brute-Force-Attacken zu schützen...
Grüße
trompetenkaefer - Mein Blog http://trompetenkaefer.wordpress.com/

Liffi
Beiträge: 2306
Registriert: 02.10.2004 01:33:05

Re: Login: Sicherheit aufbohren? / Stichwort GPU-Hash

Beitrag von Liffi » 07.06.2011 08:57:32

Das kann man vermutlich machen, aber evtl. ist es nicht soo schoen, wenn man sich selbst anmelden moechte und erst mal 2^20 Sekunden warten muss...

Benutzeravatar
trompetenkaefer
Beiträge: 1767
Registriert: 24.09.2007 09:40:16
Kontaktdaten:

Re: Login: Sicherheit aufbohren? / Stichwort GPU-Hash

Beitrag von trompetenkaefer » 07.06.2011 09:12:16

Das ganze scheint sich wohl über die Datei /etc/login.defs realisieren zu lassen.
Wie ich das jetzt aber mit den Anzahl der Loginversuche und den Potenzen hinbekomme ist mir noch nicht klar...

@ Liffi:

Man sollte nach spätestens 2 Versuchen seine CAPS-LOCK-Taste überprüfen :wink:
Grüße
trompetenkaefer - Mein Blog http://trompetenkaefer.wordpress.com/

Liffi
Beiträge: 2306
Registriert: 02.10.2004 01:33:05

Re: Login: Sicherheit aufbohren? / Stichwort GPU-Hash

Beitrag von Liffi » 07.06.2011 09:16:36

trompetenkaefer hat geschrieben:Das ganze scheint sich wohl über die Datei /etc/login.defs realisieren zu lassen.
Das betrifft afair aber nur lokale Logins. Dann hat man vermutlich groessere Probleme ;-).

EDIT::Ansonsten pam und pam_tally. Da kannst du zwar nicht mit Potenzen arbeiten, aber fuer eine Stunde (oder eine andere Zeiteinheit) den Login sperren (nach einer bestimmten Anzahl Fehlversuche).
Zuletzt geändert von Liffi am 07.06.2011 09:19:28, insgesamt 1-mal geändert.

Benutzeravatar
trompetenkaefer
Beiträge: 1767
Registriert: 24.09.2007 09:40:16
Kontaktdaten:

Re: Login: Sicherheit aufbohren? / Stichwort GPU-Hash

Beitrag von trompetenkaefer » 07.06.2011 09:18:34

Liffi hat geschrieben:Das betrifft aber nur lokale Logins. Dann hat man vermutlich groessere Probleme ;-).
Ja der SUPERGAU :wink: , mir gehts ja darum, wenn jemand physischen Zugriff auf das Gerät hat. SSH kann man ja z. B. mit Debianfail2ban absichern.

Edit: Danke, PAM scheint so in die Richtung zu gehen
Grüße
trompetenkaefer - Mein Blog http://trompetenkaefer.wordpress.com/

Benutzeravatar
spiralnebelverdreher
Beiträge: 1294
Registriert: 23.12.2005 22:29:03
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Frankfurt am Main

Re: Login: Sicherheit aufbohren? / Stichwort GPU-Hash

Beitrag von spiralnebelverdreher » 07.06.2011 11:44:19

trompetenkaefer hat geschrieben:Hallo Forum,

nachdem ich diesen Artikel hier gelesen hab:
http://www.gulli.com/news/moderne-grafi ... 2011-06-06

Hab ich mir überlegt, dass man sein (natürlich verschlüsseltes System) doch über eine Verlängerung der Loginzeit absichern könnte:
Der Ausgangspunkt dieses Gulli Artikels ist folgender: Wenn der Hashwert deines Passwortes bekannt ist, kann mit Hilfe geeigneter SW und einer passenden GPU ein dazu passendes Passwort in akzeptabler Zeit errechnet werden. Gegen diesen Angriff hilft eine Verlängerung der Loginabstandszeiten nicht, denn das errechnete Passwort passt schon beim ersten Versuch.
Deine Gegenmaßnahme (verschlüsseltes System) hilft dagegen sehr, denn es erschwert denn Zugang zum Hashwert doch heftig.

Um eine Brute-Force Attacke mit sturer Kombiniererei von Buchstaben und Zahlen (ohne Wörterbuch) durchzuführen ist keine GPU notwendig, eine Verlängerung der Loginzeiten hilft aber als Gegenmaßnahme wenn der Angreifer seeehr viel Zeit hat.. Bei 2s Abstand können in 28 Tagen rund 1,2 Millionen Passwörter ausprobiert werden. Falls dein Passwort aus sieben Kleinbuchstaben besteht gibt es ca 8 Milliarden Möglichkeiten. Die Wahrscheinlichkeit des Erfolges ist damit also ab einer bestimmten Passwortlänge sehr bescheiden.

Fazit: Wähle ein gutes Passwort (nicht in Wörterbüchern enthalten und keine simplen Kombinationen wie autobahn123) ausreichender Länge und lass den Rest wie er ist.

Benutzeravatar
spiralnebelverdreher
Beiträge: 1294
Registriert: 23.12.2005 22:29:03
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Frankfurt am Main

Re: Login: Sicherheit aufbohren? / Stichwort GPU-Hash

Beitrag von spiralnebelverdreher » 07.06.2011 11:55:20

trompetenkaefer hat geschrieben:Wenn ich mich einlogge dauert es z. B. 2 Sekunden bei falscher Passworteingabe bis der Loginbildschirm wieder freigegeben wird, nach 5 Fehlversuchen dauert es 2^2 Sekunden bis der Loginschirm freigegen wird, nach 7 Versuchen dann 2^3 Sekunden usw.
Das taugt für eine Denial-of-Service Attacke gegen dich. Wenn dich jemand ärgern will, jagt er die Einlogabstände durch stumpfes wiederholtes Eingeben eines falschen Passwortes so nach oben, dass du deinen Rechner erst Stunden oder Tage später wieder benutzen kannst

Benutzeravatar
trompetenkaefer
Beiträge: 1767
Registriert: 24.09.2007 09:40:16
Kontaktdaten:

Re: Login: Sicherheit aufbohren? / Stichwort GPU-Hash

Beitrag von trompetenkaefer » 07.06.2011 12:28:30

Stimm, das würde gehen wenn ssh läuft, bei meinem betreffenden System hab ichs aber deaktiviert.
Oder man setzt die Abstände hoch, bei nem starken Passwort würden auch 100, 200 , 500 Versuche gehen...
Ich gebs zu, so ganz ausgegoren ist die Idee noch nicht. Ich befinde mich noch in der Planungsphase :wink:
Grüße
trompetenkaefer - Mein Blog http://trompetenkaefer.wordpress.com/

Benutzeravatar
Huck Fin
Beiträge: 1202
Registriert: 10.03.2008 17:10:30

Re: Login: Sicherheit aufbohren? / Stichwort GPU-Hash

Beitrag von Huck Fin » 07.06.2011 18:58:37

Sowas ging mir auch schonmal durch den Kopf.
Besser wär es vielleicht, wenn nach 5 fehlerhaften Logins eine einfache Rechenaufgabe gestellt wird, die man beantworten muss.
Oder eine Sicherheitsfrage...
Aber sowas gibt es vermutlich nicht für Debian ?!?

Benutzeravatar
spiralnebelverdreher
Beiträge: 1294
Registriert: 23.12.2005 22:29:03
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Frankfurt am Main

Re: Login: Sicherheit aufbohren? / Stichwort GPU-Hash

Beitrag von spiralnebelverdreher » 09.06.2011 22:18:55

Huck Fin hat geschrieben:Sowas ging mir auch schonmal durch den Kopf.
Besser wär es vielleicht, wenn nach 5 fehlerhaften Logins eine einfache Rechenaufgabe gestellt wird, die man beantworten muss.
Oder eine Sicherheitsfrage...
Aber sowas gibt es vermutlich nicht für Debian ?!?
Man braucht es eigentlich auch nicht.
Wenn Du ein gutes Passwort mit mindestens 8 Zeichen wählst und den Abstand zwischen zwei Logins auf 2 Sekunden setzt, gibt der typische Angreifer aus dem Internet bei einzelnen Nutzernamen bald auf. Langes Rumprobieren dauert ihm viel zu lange, er sucht leichte Beute.

Falls Du den ssh Dienst aktiviert hast und dieser aus dem Internet erreichbar ist, kannst Du dir ja mal das Logfile auth.log ansehen. Da erkennst Du das Muster des 0815-Angriffs deutlich. Es werden vermutete Standard-Accounts (root, tester1, tester2, student, student1, john, jane, mysql, ...) durchprobiert, einige Passworte ausprobiert (vermutlich Passwort=Nutzername und leichte Abwandlungen) und dann kommt schon gleich der nächste vermutete Nutzername dran.

Benutzeravatar
Huck Fin
Beiträge: 1202
Registriert: 10.03.2008 17:10:30

Re: Login: Sicherheit aufbohren? / Stichwort GPU-Hash

Beitrag von Huck Fin » 09.06.2011 22:51:32

Ich habe nur OpenVPN offen und den Port 80 für Apache
Den Apache sichere ich mit htaccess ab.
OpenVPN läuft über Zerti's...
Wo stelle ich denn das ein mit dem Abstand für die Logins ?

Ob ein Passwort mit 8 Zeichen reicht ?!?
lies das mal...
http://www.1pw.de/brute-force.html

Benutzeravatar
spiralnebelverdreher
Beiträge: 1294
Registriert: 23.12.2005 22:29:03
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Frankfurt am Main

Re: Login: Sicherheit aufbohren? / Stichwort GPU-Hash

Beitrag von spiralnebelverdreher » 09.06.2011 23:13:31

Huck Fin hat geschrieben:Ich habe nur OpenVPN offen und den Port 80 für Apache
Den Apache sichere ich mit htaccess ab.
OpenVPN läuft über Zerti's...
Wo stelle ich denn das ein mit dem Abstand für die Logins ?

Ob ein Passwort mit 8 Zeichen reicht ?!?
lies das mal...
http://www.1pw.de/brute-force.html
Naja, da steht halt, dass der schnellste Einzel-PC derzeit 2 Milliarden Schlüssel pro Sekunde generieren kann. Die weiteren Tabellen bauen auf diesem Wert auf. Kann (und will) dein Rechner 2 Milliarden Login-Versuche pro Sekunde beantworten? Wäre dein Netzwerk in der Lage, diese Menge zu transportieren?

Wo du das mit dem Abstand einstellst, weiß ich nicht sicher ... vielleicht in /etc/pam.d/login. Bei mir sind da 3 Sekunden (3000000 Mikrosekunden) eingetragen und so fühlt sich auch der Abstand auf der Kommandozeile bei falschem Passwort auch an.

Mein obiges Rechenexempel mit 2s Abstand kommt auf 1,2 Mio ausprobierbare Passwörter in 28 Tagen, das ist dann schon was anderes als 2 Milliarden pro Sekunde.

Aber wenn Du nicht benötigte Dienste gar nicht laufen hast, ist das natürlich noch besser als sich auf das Gesetz der Unwahrscheinlichkeit zu verlassen.

pgs
Beiträge: 123
Registriert: 22.07.2004 14:30:40

Re: Login: Sicherheit aufbohren? / Stichwort GPU-Hash

Beitrag von pgs » 09.09.2011 14:32:14

Man kann bei fail2ban auch IP-Adressen whitelisten. So kann man über einen oder mehrere vertrauenswürdige Rechner selbst im Falle einer DOS-Attacke "rein".

mfg, pgs

Antworten