Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Re: Quando aboliranno le password?
8 views
Skip to first unread message
Message has been deleted
ObiWan
May 7, 2013, 9:29:44 AM5/7/13
to
> Le password sono ingombranti, scomode, insicure, facilmente
beh, però a volte possono essere comode
http://people.csail.mit.edu/rivest/honeywords/
specie come sistemi di allarme :D
Leonardo Serni
May 7, 2013, 12:13:18 PM5/7/13
to
On Tue, 7 May 2013 15:29:44 +0200, ObiWan <alb.20.t...@spamgourmet.com>
wrote:
>> Le password sono ingombranti, scomode, insicure, facilmente
>beh, però a volte possono essere comode
>http://people.csail.mit.edu/rivest/honeywords/
Hmmmm... a parte la difficolta' implementativa, ma mi sembra un'idea un po'
del menga.
Nel senso che, per farla funzionare, ti serve una tecnologia che - se ce la
avessi - renderebbe l'idea del tutto superflua.
Questa frase:
"The table c is maintained in a secure manner: in the proposal
of this note it is stored on the honeychecker".
Quindi, sostanzialmente, ci serve:
Una tecnologia tale che una tabella C protetta da questa tecnologia
non sia furtabile.
Ma se ce l'avessi, ti basterebbe mettere LE PASSWORD in quella tabella!
La cosa avrebbe senso se l'attaccante NON SAPESSE che quel sistema e' sotto
honeywording. Ma lo sa, perche' la struttura della tabella di password deve
essere cambiata, aggiungendo il chaff, e cio' non passa inosservato.
Leonardo
--
Were I Glenallan's Earl this tide, and were you Roland Cheyne,
My spur would be in my horse's side, the bridle upon his mane.
If they hae twenty thousand blades and we twice ten times ten,
Yet they hae but their tartan plaids, and we're mail-clad men.
wrote:
>> Le password sono ingombranti, scomode, insicure, facilmente
>beh, però a volte possono essere comode
>http://people.csail.mit.edu/rivest/honeywords/
del menga.
Nel senso che, per farla funzionare, ti serve una tecnologia che - se ce la
avessi - renderebbe l'idea del tutto superflua.
Questa frase:
"The table c is maintained in a secure manner: in the proposal
of this note it is stored on the honeychecker".
Quindi, sostanzialmente, ci serve:
Una tecnologia tale che una tabella C protetta da questa tecnologia
non sia furtabile.
Ma se ce l'avessi, ti basterebbe mettere LE PASSWORD in quella tabella!
La cosa avrebbe senso se l'attaccante NON SAPESSE che quel sistema e' sotto
honeywording. Ma lo sa, perche' la struttura della tabella di password deve
essere cambiata, aggiungendo il chaff, e cio' non passa inosservato.
Leonardo
--
Were I Glenallan's Earl this tide, and were you Roland Cheyne,
My spur would be in my horse's side, the bridle upon his mane.
If they hae twenty thousand blades and we twice ten times ten,
Yet they hae but their tartan plaids, and we're mail-clad men.
ObiWan
May 7, 2013, 12:35:26 PM5/7/13
to
> Una tecnologia tale che una tabella C protetta da questa
> tecnologia non sia furtabile.
>
> Ma se ce l'avessi, ti basterebbe mettere LE PASSWORD in quella
> tabella!
logicamente separato dai sistemi che lo usano, questi ultimi hanno solo
una qualche "interfaccia" (volendosi far del male potrebbe anche essere
un qualcosa basato su SOAP :D) che permette di inviare una pass ed
ottenere un "true" o "false", null'altro, nessun accesso di altro tipo;
a questo punto beh, il sistema HA senso :D
Leonardo Serni
May 7, 2013, 2:13:42 PM5/7/13
to
On Tue, 7 May 2013 18:35:26 +0200, ObiWan <alb.20.t...@spamgourmet.com>
wrote:
Ma non puoi mandare "solo" la password, perche' quella che per te e' una
honeyword magari e' quella che io ho scelto come mia password.
Devi inviare un utente e una candidate-password, e il sistema ti dice se
quella e' la password giusta, oppure no.
Quindi uno deve avere un sistema sicuro cui inviare la coppia (username,
password) vedendosi restituire True o False.
E questo cos'e', se non un sistema di login?
===
Uno dice... si', ma il sistema sicuro puo' dare l'allarme se la password
e' nella lista delle honeywords.
Ma come ha fatto un attaccante ad avere le honeywords? Le ha carpite dal
sistema di autenticazione primario, quello che ora non fa piu' *nessuna*
autentifica ma si limita a passare la palla al sistema secondario.
Quindi, decidendo di lasciare gli hash sul sistema primario vulnerabile,
anziche' metterle insieme alla tabella sicura sul sistema secondario che
ho IPOTIZZATO sicuro, quel che ho fatto in realta' e' stato di mettere a
rischio deliberatamente e senza necessita' quegli stessi hash.
Per cosa? Perche' cosi', anziche' NON riuscire a fregarmeli, ci riescono
e io[1] me ne accorgo[2]?
Praticamente e' il Nuke Nabber dei password bruteforcer :-D
Leonardo
[1] dopo un po'
[2] esponendomi anche a un problema di password reuse: l'attaccante vede
che Pippo ha venti password. Se le prova tutte e venti su un sistema
diverso dal mio, dove Pippo usa la stessa password e dove diciannove
delle mie honeyword falliranno senza avvertire ME (perche', appunto,
non e' il mio sistema). Armato della ventesima, l'attaccante ritorna
sul mio sistema e lo conosce in senso biblico.
wrote:
honeyword magari e' quella che io ho scelto come mia password.
Devi inviare un utente e una candidate-password, e il sistema ti dice se
quella e' la password giusta, oppure no.
Quindi uno deve avere un sistema sicuro cui inviare la coppia (username,
password) vedendosi restituire True o False.
E questo cos'e', se non un sistema di login?
===
Uno dice... si', ma il sistema sicuro puo' dare l'allarme se la password
e' nella lista delle honeywords.
Ma come ha fatto un attaccante ad avere le honeywords? Le ha carpite dal
sistema di autenticazione primario, quello che ora non fa piu' *nessuna*
autentifica ma si limita a passare la palla al sistema secondario.
Quindi, decidendo di lasciare gli hash sul sistema primario vulnerabile,
anziche' metterle insieme alla tabella sicura sul sistema secondario che
ho IPOTIZZATO sicuro, quel che ho fatto in realta' e' stato di mettere a
rischio deliberatamente e senza necessita' quegli stessi hash.
Per cosa? Perche' cosi', anziche' NON riuscire a fregarmeli, ci riescono
e io[1] me ne accorgo[2]?
Praticamente e' il Nuke Nabber dei password bruteforcer :-D
Leonardo
[1] dopo un po'
[2] esponendomi anche a un problema di password reuse: l'attaccante vede
che Pippo ha venti password. Se le prova tutte e venti su un sistema
diverso dal mio, dove Pippo usa la stessa password e dove diciannove
delle mie honeyword falliranno senza avvertire ME (perche', appunto,
non e' il mio sistema). Armato della ventesima, l'attaccante ritorna
sul mio sistema e lo conosce in senso biblico.
Message has been deleted
ObiWan
May 8, 2013, 3:08:22 AM5/8/13
to
> >anche essere un qualcosa basato su SOAP :D) che permette di inviare
> >una pass ed ottenere un "true" o "false", null'altro, nessun accesso
> >di altro tipo; a questo punto beh, il sistema HA senso :D
>
> Ma non puoi mandare "solo" la password, perche' quella che per te e'
> una honeyword magari e' quella che io ho scelto come mia password.
roba, specie se incompleta, quando sono fuso :D) concordo con quanto
hai scritto ma, proviamo a vedere il tutto in modo diverso, supponiamo
di avere un sistema "banale" con auth basata su un DB utenti e con il
tutto residente sul frontend (un classico :D) a questo punto, diciamo
di inserire nel DB stesso una serie di utenze "arbitrarie" che abbiano
come passwords delle "honey" o di inserire, ogni tanti accounts utente,
uno o più accounts "farlocchi"; a questo punto, se qualcuno ti frega il
DB delle pass e prova a craccare gli hash, le probabilità che cracchi
le "honey" sono piuttosto alte e, nel momento in cui "l'attaccante"
cercasse di loggarsi con una delle "honey" craccate, tu verresti
avvertito del fatto che, molto probabilmente, ti hanno fregato il DB
delle credenziali; certo, non è un sistema "di sicurezza" lo vedo più
come una specie di "tripwire" che permetta di accorgersi di un
eventuale "data leakage"
Leonardo Serni
May 8, 2013, 7:21:29 AM5/8/13
to
On Wed, 8 May 2013 09:08:22 +0200, ObiWan <alb.20.t...@spamgourmet.com>
wrote:
>si, scusa, ieri ero leggerissimamente fuso (debbo smetterla di postare
>roba, specie se incompleta, quando sono fuso :D) concordo con quanto
>hai scritto ma, proviamo a vedere il tutto in modo diverso, supponiamo
>di avere un sistema "banale" con auth basata su un DB utenti e con il
>tutto residente sul frontend (un classico :D) a questo punto, diciamo
>di inserire nel DB stesso una serie di utenze "arbitrarie"
OK - questo e' seeding, e sono d'accordo (se ne parlo' temporibus illis,
parlando di "honeytoken").
Gli "honeyusers" non sono utenti reali, e quindi non gravano sul sistema
se non in termini di storage. Addirittura, qualcuno potrebbe essere dato
con password banale (es. uguale allo username), cosi' individui subito i
bruteforce piu' stupidi.
BTW, sono anch'io un po' 'dazed and confused', e spero di poter postarne
presto il motivo da qualche parte, sicche' se svagello voi mi corigerete
senza infierire piu' che tanto, eh? :-D
Leonardo
wrote:
>si, scusa, ieri ero leggerissimamente fuso (debbo smetterla di postare
>roba, specie se incompleta, quando sono fuso :D) concordo con quanto
>hai scritto ma, proviamo a vedere il tutto in modo diverso, supponiamo
>di avere un sistema "banale" con auth basata su un DB utenti e con il
>tutto residente sul frontend (un classico :D) a questo punto, diciamo
>di inserire nel DB stesso una serie di utenze "arbitrarie"
parlando di "honeytoken").
Gli "honeyusers" non sono utenti reali, e quindi non gravano sul sistema
se non in termini di storage. Addirittura, qualcuno potrebbe essere dato
con password banale (es. uguale allo username), cosi' individui subito i
bruteforce piu' stupidi.
BTW, sono anch'io un po' 'dazed and confused', e spero di poter postarne
presto il motivo da qualche parte, sicche' se svagello voi mi corigerete
senza infierire piu' che tanto, eh? :-D
Leonardo
ObiWan
May 8, 2013, 8:25:24 AM5/8/13
to
> OK - questo e' seeding, e sono d'accordo (se ne parlo' temporibus
> illis, parlando di "honeytoken").
altro dato una scorsa o "eyeballed" come dicono i barbari <g>) quel
PDF mi è venuta in mente l'idea del "seeding" solo che... c'era della
roba che non "mi quagliava" e ieri, fuso come ero, ho postato della
robaccia immonda :( ... vabbè :P :)
> BTW, sono anch'io un po' 'dazed and confused', e spero di poter
> postarne presto il motivo da qualche parte, sicche' se svagello voi
> mi corigerete senza infierire piu' che tanto, eh? :-D
certo "coso" che dovrebbe risorgere dalle ceneri... no news :) ?
Leonardo Serni
May 8, 2013, 11:12:13 AM5/8/13
to
On Wed, 8 May 2013 14:25:24 +0200, ObiWan <alb.20.t...@spamgourmet.com>
wrote:
>> BTW, sono anch'io un po' 'dazed and confused', e spero di poter
>> postarne presto il motivo da qualche parte, sicche' se svagello voi
>> mi corigerete senza infierire piu' che tanto, eh? :-D
>no te preocupe... a propo, per quell'altra faccenduola relativa ad un
>certo "coso" che dovrebbe risorgere dalle ceneri... no news :) ?
Lista d'attesa per il trapianto di memoria :-)
Leonardo "serviamo il numero... non ricordo..."
wrote:
>> BTW, sono anch'io un po' 'dazed and confused', e spero di poter
>> postarne presto il motivo da qualche parte, sicche' se svagello voi
>> mi corigerete senza infierire piu' che tanto, eh? :-D
>no te preocupe... a propo, per quell'altra faccenduola relativa ad un
>certo "coso" che dovrebbe risorgere dalle ceneri... no news :) ?
Leonardo "serviamo il numero... non ricordo..."
ObiWan
May 8, 2013, 11:48:26 AM5/8/13
to
> >no te preocupe... a propo, per quell'altra faccenduola relativa ad un
> >certo "coso" che dovrebbe risorgere dalle ceneri... no news :) ?
>
> Lista d'attesa per il trapianto di memoria :-)
>
> Leonardo "serviamo il numero... non ricordo..."
*Alessandro*
May 8, 2013, 5:13:44 PM5/8/13
to
"ObiWan" <alb.20.t...@spamgourmet.com> wrote in message
news:20130508174...@deathstar.mil...
Mi domandavo infatti perche' i documenti di tale ~lserni fossero scomparsi
dalla rete...
Pensavo a un complotto dei grigi illuminati dalle scie chimiche fluorescenti
di signoraggio.
Ciaotutti,
*, in crosspost virtuale con idu e idm
news:20130508174...@deathstar.mil...
dalla rete...
Pensavo a un complotto dei grigi illuminati dalle scie chimiche fluorescenti
di signoraggio.
Ciaotutti,
*, in crosspost virtuale con idu e idm
Leonardo Serni
May 8, 2013, 5:39:45 PM5/8/13
to
On Wed, 8 May 2013 23:13:44 +0200, "*Alessandro*" <inet...@hotmail.com>
wrote:
>Mi domandavo infatti perche' i documenti di tale ~lserni fossero scomparsi
>dalla rete...
Sto emigrando - virtualmente - in Germania. Sul nuovo server in questo momento
c'e' un "Hello World" :-)
Speravo di riuscire a fare la migrazione il primo maggio: ma, essendo la festa
del lavoro, mi hanno fatto la festa e ho dovuto lavorare :-(
Ora questo sabato, per l'appunto, sono in un paesino del modenese[1]; sicche',
"well I'll try to make it Sunday".
Leonardo auto-gufante
[1] altra cosa che ogni volta che ci provo, succede l'Inferno in terra perche'
io non ci riesca. I superstiziosi evitino la A1 sabato... il meteo prevede
asteroidi :-|
wrote:
>Mi domandavo infatti perche' i documenti di tale ~lserni fossero scomparsi
>dalla rete...
c'e' un "Hello World" :-)
Speravo di riuscire a fare la migrazione il primo maggio: ma, essendo la festa
del lavoro, mi hanno fatto la festa e ho dovuto lavorare :-(
Ora questo sabato, per l'appunto, sono in un paesino del modenese[1]; sicche',
"well I'll try to make it Sunday".
Leonardo auto-gufante
[1] altra cosa che ogni volta che ci provo, succede l'Inferno in terra perche'
io non ci riesca. I superstiziosi evitino la A1 sabato... il meteo prevede
asteroidi :-|
0 new messages