2. ● Acum câteva zile (17.06.2011) grupul LulzSec a publicat o
arhivă cu peste 62000 de parole și emaluri din diverse surse
(forumuri, conturi de email, etc)
● http://lulzsecurity.com/releases/62000_random_logins.txt
3. O analiză asupra acestora:
● Lungimea medie a unei parole este de 7 caractere
[1]
4. O analiză asupra acestora:
● Cea mai comună parolă este 123456, cu 569 de repetări
● Username-ul, cu 789 repetări
● Urmat de:
● 123456789 / 184 repetări
● password / 132 reperări
● altele: romance, mystery, tigger, shadow
● aleatoare: 123qwe, asdf1234
5. GPU computing:
● Calcule generale pe plăci grafice (GPU)
● Procesoarele grafice sunt puternic paralele
● Putem rula același cod pe o mulțime de thread-uri cu date de
intrare diferite
6. Brute-force attack folosind GPU:
● ighashgpu dezvoltat de Ivan Golubev [2]
● Suportă brute-force attacks pe hash-uri de parole:
● MD5, SHA1
● NTLM (Windows)
● MSSQL / MySQL 5 / Oracle 11g
● vBulletin forums, etc.
● Îl vom compara cu Cain&Abel, care folosește CPU
7. Brute-force attack folosind GPU:
● Pentru parole de 5 caractere, litere mari și mici, cifre:
● CPU: 24 secunde, la o rată de 10 mil parole / secundă
● GPU: <1 secundă, la o rată de 3.3 mld parole / secundă [3]
● Parole de 6 caractere:
● CPU: 1h 30 min
● GPU: 17 secunde
8. Brute-force attack folosind GPU:
● Parole de 7 caractere:
● CPU: 4 zile
● GPU: 17 min, 30 sec.
● Parole de 8 caractere:
● CPU: 1 an
● GPU: 18 h, 30 min.
9. Brute-force attack folosind GPU:
● Parole de 9 caractere:
● CPU: 43 ani
● GPU: 48 zile
● Parolă de 10 caractere:
● CPU: ?
● GPU: 8 ani, 70 zile
10. Brute-force attack folosind GPU:
Parole care conțin punctuație, litere mari și mici, cifre:
● Parole de 7 caractere:
● CPU: 75 zile
● GPU: 7h
● Parole de 8 caractere:
● CPU: 19 ani
● GPU: 26 zile
11. Brute-force attack folosind GPU:
Parole care conțin punctuație, litere mari și mici, cifre:
● Parole de 9 caractere:
● CPU: ?
● GPU: 9 ani
12. Metode de prevenire:
● Parole >= 10 caractere
● Punctuație, litere mari și mici, cifre
● Parole unice pt fiecare login (de ex. user@host:fixed)
Pentru stocare în baze de date:
● Salted passwords