ataques de dicionário com cupp
TRANSCRIPT
Professor Cristiano Goulart Borges
Algo que o
usuário
sabe...
Algo que o
usuário
tem...
Algo que o
usuário
é...
Algo que o
usuário
faz...
Senhas e Autenticação
Por mais insuficiente que seja a combinação usuário/senha a situação sempre pode piorar:
* se você os deixar escolher uma senha sem qualquer critério, eles
automaticamente escolherão uma senha fraca, como “internacional” ou
“gremio”.“gremio”.
* se você os forçar a escolher uma senha forte com letras maiúsculas, minúsculas,
números e símbolos, eles irão anotar num papel e esconder embaixo do teclado.
* se você os pedir para alterar, eles alterarão para a mesma senha que usavam no
mês passado.
* quando você finalmente consegue fazê-los utilizar uma senha forte, eles
utilizarão essa mesma senha para diversos serviços diferentes.
http://www.ted.com/talks/bruce_schneier#t-1245418
O consultor de segurança Mark Burnett publicou 10 milhões de senhas junto a seus nomes de usuário
correspondentes.
A ideia é ajudar outros pesquisadores – ele acredita que a maioria das combinações usuário-senha já
foi desativada – mas é algo juridicamente arriscado.
Normalmente, pesquisadores de segurança recebem um conjunto de senhas sem os nomes de
usuário, só que isso os impede de analisar possíveis interações entre nomes e senhas.
http://gizmodo.uol.com.br/10-milhoes-senhas-nomes/https://xato.net/about/
“...há algum tempo, queria criar um banco de dados
limpo para compartilhar com o mundo”.
Ele acredita que fornecer nomes e senhas em
conjunto dá “insights melhores sobre o
comportamento do usuário e é valioso para promover
a segurança de senhas”.
Assim, Burnett se esforça para
explicar porque o FBI não deve
prendê-lo:
“Embora os pesquisadores normalmente só liberem senhas, eu estouliberando os nomes de usuário com as senhas. A análise de nomes esenhas é uma área que tem sido muito negligenciada e pode fornecermais insights que estudar senhas isoladamente.A maioria dos pesquisadores tem medo de publicar nomes deusuários e senhas juntos porque, combinados, eles se tornam umrecurso de autenticação. Se apenas fornecer o link para recursos deautenticação em um canal de IRC privado é considerado tráfico,certamente o FBI iria considerar a liberação pública de dados reais umcertamente o FBI iria considerar a liberação pública de dados reais umcrime…
… a intenção aqui certamente não é fraudar, nem facilitar o acessonão-autorizado a um sistema de computador, nem roubar a identidadede outros, nem auxiliar qualquer crime ou prejudicar qualquer pessoafísica ou jurídica. A única intenção é avançar as pesquisas com oobjetivo de tornar a autenticação mais segura e, portanto, nosproteger contra fraudes e acessos não-autorizados…
Em última análise, até o máximo que pude verificar, estas senhas nãosão mais válidas, e eu tomei medidas extraordinárias para tornaresses dados ineficazes em atacar determinados usuários ouorganizações. Estes dados são extremamente valiosos para finsacadêmicos e de pesquisa e para promover a segurança deautenticação, e é por isso que eu os liberei em domínio público.”
http://wpengine.com/unmasked/
WordPress Hosting Platform 10 Million Passwords Unmasked
Note que há uma
diferença regional
que precisa ser
levada em
consideração.
Faça o que eu digo, não faça o que eu faço! (as senhas dos Grandes de TI)
Faça o que eu digo, não faça o que eu faço! (as senhas dos Grandes de TI)
Faça o que eu digo, não faça o que eu faço! (as senhas dos Grandes de TI)
Faça o que eu digo, não faça o que eu faço! (as senhas dos Grandes de TI)
Faça o que eu digo, não faça o que eu faço! (as senhas dos Grandes de TI)
Faça o que eu digo, não faça o que eu faço! (as senhas dos Grandes de TI)
Faça o que eu digo, não faça o que eu faço! (as senhas dos Grandes de TI)
Afinal, se até o Comando
Aéreo Estratégico dos EUA
mantiveram por 20 anos os
códigos de lançamento doscódigos de lançamento dos
mísseis nucleares como
“00000000”, o que
impediria o usuário
mediano de usar senhas
fracas?
http://www.dailymail.co.uk/news/article-2515598/Launch-code-US-nuclear-weapons-easy-00000000.html
Conforme Bruce Schneier, o conceito de senhas está relacionado a um Oxímoro:
uma figura de linguagem que consiste em relacionar numa mesma expressão ou
locução palavras que exprimem conceitos contrários:
Uma senha segura é aquela onde o esforço para obtê-la é mais custoso do
que o benefício advindo de tal ato.
• silêncio ensurdecedor
• ilustre desconhecido
• mentiroso honesto
A ideia é ter uma palavra randômica fácil de lembrar para servir de autenticação.
Cristiano = fácil de lembrar, mas não é randômico
TRsdj-dsi18*54kuq(0 = randômico, mas não é fácil de lembrar
https://howsecureismypassword.net/
http://password.social-kaspersky.com/pt
Porém esse cálculo é feito considerando-se o método de força bruta.
Em ataques de dicionário, uma wordlist será utilizada para tentar quebrar a senha
da vítima, ou seja, tudo dependerá:
• da qualidade da wordlist do atacante
• da qualidade da senha do usuário
O CUPP.py nos permitirá criar uma wordlist personalizada, sempre levando em
consideração que nosso usuário foi tolo o suficiente para utilizar informações
pessoais para compor uma senha.
Lembre-se: usando dados pessoais conseguidos através de currículos coletados na
Internet, redes sociais ou mesmo através de engenharia social, pode-se aumentar
ainda mais a qualidade da wordlist
CUPP: Common User Password Profiler
Exemplo de quebra de SSH com CUPP.py e Hydra-GTK
Senha: 5p1k3Cr1571@n0@|@Senha: 5p1k3Cr1571@n0@|@
Criando senhas fortes
Senha = MvJ,87,gbdl.
Frase = Meu vizinho João, 87, gosta bastante de limonada.
96 possibilidades em 12 dígitos (9612): 612.709.757.329.767.363.772.416
Note que esta já não é mais uma senha segura.
Teste da senha Mvj,87,gbdl.
How Secure is my password
Kaspersky
DICA DO DIA!!!!!!!!!!
Transforme algo que você sabe em algo que você tem e faça autenticação dupla ;o)
Escreva num pedaço de papel uma parte da senha e leve-o na sua carteira (afinal, é
onde você guarda seus documentos, seu dinheiro, seus cartões...). Você também podeonde você guarda seus documentos, seu dinheiro, seus cartões...). Você também pode
ter essa informação no seu celular, usando softwares como o Keepass.
Senha = MvJ,87,gbdl.@Mg7F-097DsLp-12 sendo que:
MvJ,87,gbdl. é a parte que eu sei e;
@Mg7F-097DsLp-12 é a parte que levo anotada na carteira ou celular.
MvJ,87,gbdl.@Mg7F-097DsLp-12
Obrigado!Obrigado!