نوشته‌شده در

رمزنگاری – سرویس استراحت امنیت رمز عبور

من یک سرویس استراحت A را ارائه می دهم که برای سرویس B بقیه ارتباط برقرار می کند (هر دو این سرویس در داخل شبکه شرکت قرار می گیرند). اما خدمات بقیه B، شناسه سرویس و رمز واقعی واقعی را برای من به منظور استفاده از سرویس B خود ارائه کرده است.

نگرانی من این است که چگونه رمز عبور سرویس B را به طور ایمن در Service A خود ذخیره کنم. من نمی خواهم فقط آن را ذخیره کنم متن ساده در فایل خواص یا پایگاه داده.

من دوست دارم یک روش رمزنگاری برای تأمین رمز عبور را اجرا کنم، اما تنها نگرانی من این است که هر تکنیک که برای تأیید گذرواژه استفاده می شود، در نهایت من باید به عنوان فیلد ساده فقط برای تماس ارسال کنم سرویس ب.

این فقط برای مخفی کردن متن ساده رمز عبور از بقیه تیم و شرکت است. باید بین مصرف کننده و تولیدکننده ایمن باشد (ممکن است افراد را نگه دارد).

نوشته‌شده در

رمزگذاری – بهترین راه حل اگر SSL / TSL در دسترس نیست؟

من یک سرور UDP در پایتون ایجاد میکنم که به عنوان یک سرور بازی برای تأیید اعتبار و اعتبار یک سرویس دهنده بازی عمل خواهد کرد. من می خواهم از برخی از روش های امنیتی کانال استفاده کنم که در آن یک کاربر به من اعتبار ورود را ارسال می کند و در آنجا من برخی از نوع nonce را به کاربر می فرستم تا اعتبار هر یک از بسته های فرستاده شده به سرور من را تایید کند. متاسفانه، بدون در نظر گرفتن رمزگذاری کانال، هر دو اعتبار و nonce به شخص در حمله های میانه مربوط می شود.

نه تنها یک مهاجم مخرب قادر خواهد بود به آن حمله کند، بازیکن (مشتری) خود می تواند خود را سوء ظن و همچنین احتمالا راهی برای انجام تک تک وجود دارد که این یک بازی است، نمی تواند به معنای تلاش برای شکستن گذرواژه باشد، بلکه تقلب از طرف شخصیت بازیکن خود را با ارسال بسته های بد

سرور خود می تواند از SSL / TSL هر چند پروتکل دیگر با گواهینامه و آثار آن را به عنوان سفارشی و در پایتون. مشتری موتور واقعی بازی است (بدون دسترسی به کد منبع) که طیف گسترده ای از روش های شبکه را ارائه می دهد، اما به نظر نمی رسد راهی برای رمزگذاری / ایمن سوکت ایجاد شده یا بسته های خود فراهم کند. آنها شیوه های هش کردن داده ها در بافر را با SHA / MD5 دارند. اما این در مورد آن است.

بنابراین، گزینه های من چه هستند؟ فقط با آن برخورد کنید؟ من فکر میکردم شاید بتوانم از برخی از انواع گزینه PGP در اینجا استفاده کنم وقتی یک کلید عمومی و خصوصی ایجاد میکنم که احتمالا اگر من خوش شانس باشم قادر به رمزگذاری و امضای اعتبار و عدم امنیت هستم، اما احتمالا ممکن نیست.

نوشته‌شده در

رمزهای عبور – شناسایی ترفندهای ویندوز در فرمت های ویندوز LSA Hash

من برخی از هش ها را با استفاده از ترکمبه اکسک گرفته ام و از فرآیند LSA منقرض شده است. هش ها در این فرم هستند (داده های زیر جعلی هستند): 

 adm_name: c6f132a235209036744ba5d303bd5d9b: SOME.ORGANISATION.COM: ORGANIZATION :::

سرویس های شناسایی هش در Kali هش را به عنوان شناسایی نمی کند، اما اگر هش اصلاح شود، برخی از خروجی ها را ارائه می دهد.
برای ابزار شناسه هش ورودی: 

 c6f132a235209036744ba5d303bd5d9b

نتایج: 

 هش های احتمالی:
[+] MD5
[+] مجوزهای محرمانه دامنه - MD4 (MD4 (($ pass)). (strtolower ($ username)))

برای ابزار هاشید ورودی: 

 adm_name: c6f132a235209036744ba5d303bd5d9b

خروجی ها: 

 [+] مجوزهای ذخیره شده در دامنه
[+] مدارک مجوز دامنه Cached 2

جان هش ها را فقط در گزارش ها می پذیرد: 

 هشدار: نوع هش "LM" را شناسایی کرد، اما رشته نیز به عنوان "NT" شناخته می شود.
از گزینه "--format = NT" استفاده کنید تا جای آن را بارگذاری کنید
هشدار: هش نوع "LM" شناسایی شده است، اما رشته نیز به عنوان "HAVAL-128-4" شناخته می شود
از گزینه "--format = HAVAL-128-4" برای جابجایی آن به عنوان آن نوع استفاده کنید
هشدار: هش نوع "LM" شناسایی شده است، اما رشته نیز به عنوان "lotus5" شناخته می شود
از گزینه "--format = lotus5" استفاده کنید تا جای آن را بارگذاری کنید
هشدار: هش نوع "LM" شناسایی شده است، اما رشته نیز به عنوان "MD2" شناخته می شود.
از گزینه "--format = MD2" استفاده کنید تا جای آن را بارگذاری کنید
هشدار: نوع هش "LM" شناسایی شده است، اما رشته نیز به عنوان "mdc2" شناخته می شود
از گزینه "--format = mdc2" استفاده کنید تا جای آن را بارگذاری کنید
هشدار: هش نوع "LM" شناسایی شده است، اما رشته نیز به عنوان "mscash" شناخته می شود
از گزینه "--format = mscash" استفاده کنید تا جای آن را بارگذاری کنید
هشدار: هش نوع "LM" شناسایی شده است، اما رشته نیز به عنوان "mscash2" شناخته می شود
از گزینه "--format = mscash2" استفاده کنید تا جای آن را بارگذاری کنید
هشدار: هش نوع "LM" شناسایی شده است، اما رشته نیز به عنوان "Raw-MD4" شناخته می شود
از گزینه "--format = Raw-MD4" استفاده کنید تا جای آن را بارگذاری کنید
هشدار: هش نوع "LM" شناسایی شده است، اما رشته نیز به عنوان "Raw-MD5" شناخته می شود
از گزینه "--format = Raw-MD5" استفاده کنید تا به جای آن آن را بارگذاری کنید
هشدار: هش نوع "LM" شناسایی شده است، اما رشته نیز به عنوان "Raw-MD5u" شناخته می شود
از گزینه "--format = Raw-MD5u" استفاده کنید تا جای آن را بارگذاری کنید
هشدار: هش نوع "LM" شناسایی شده است، اما رشته نیز به عنوان "ripemd-128" شناخته می شود.
از گزینه "--format = ripemd-128" استفاده کنید تا به جای آن آن را بارگذاری کنید
هشدار: نوع هش "LM" شناسایی شده است، اما رشته نیز به عنوان "Snefru-128" شناخته می شود.
از گزینه "--format = Snefru-128" استفاده کنید تا به جای آن آن را بارگذاری کنید
هشدار: هش نوع "LM" شناسایی شده است، اما رشته نیز به عنوان "NT-old" شناخته می شود.
از گزینه "--format = NT-old" استفاده کنید تا جای آن را بارگذاری کنید

hashcat تلاش می کند (با استفاده از پرچم -m 1000 برای نوع های هش NTLM) اگر فرمت فقط هگز (همانند مثال ورودی شناسه هشت بالا باشد، تلاش خواهد کرد. )

من آن را نمی توانم در حمله "عبور هش" استفاده کنم.
به غیر از نشان دادن نام کاربری ها، این هاشش ها در این فرم به مهاجم چیست؟ هر هدفی عالی خواهد بود!

نوشته‌شده در

چگونه تکرار شخصیت آنتروپی رمز عبور را تحت تاثیر قرار می دهد؟

آنتروپی رمز عبور براساس تعداد ترکیبات احتمالی است.
برای الگوی کاهش آنتروپی، الگوی باید به مهاجم شناخته شود. [1965،9002] اگر الگوی ثابت و شناخته شده نباشد، کاهش پیچیدگی به الگوریتم مهاجم اختصاص خواهد یافت. برای مهاجمان مختلف متفاوت خواهد بود. به عنوان مثال، با یک حمله فرهنگ لغت، پیچیدگی موثر برای واژه های فرهنگ لغت، اندازه فرهنگ لغت است، برای لغات از واژه لغت کامل پیچیدگی نیروی شدید.

من نمی دانم که آیا الگوریتم بهینه ریاضی برای تکرار نامه ها وجود دارد یا می تواند باشد. ساده ترین راه حل که می توانم بکنم این است که تکرار نمادین، تا یک تکرار N، به عنوان گرافهای اضافی، درمان شود. در این حالت، قدرت رمز عبور تعداد عباراتی که در آن وجود دارد، خواهد بود.

در برابر چنین الگوریتمی، قدرت افزوده هر نماد پی در پی از علامت های دوم تا نهم 0 است و معادل آن با گرافیتی دیگر تا 2N است. اما چنین الگوریتمی به دلیل مجموعه ای از کاراکترهای مؤثرتر، در برابر کلمات عبور تصادفی کندتر خواهد بود. به عنوان مثال، بررسی تکرارهای دوگانه برای هر نماد، سرعت آن را با ضریب 2 ^ (طول -1) کاهش می دهد. اما در برابر یک رمز عبور که تمام علامت های دوگانه است، سرعت آن فقط به یک ردیف مربع از پیچیدگی بالا بهبود خواهد یافت.

اگر لازم است که راندمان نیروی بی رحمانه آسیب نبیند، نیشگون گرفتن آزاد همیشه شروع به انتخاب آخرین گرافیت را به عنوان برابر با قبلی قبول می کند. در این حالت، قدرت افزوده از اول (برای طول متغیر) یا تمام نمادهای تکرار در انتهای (برای طول ثابت) 0 است.
انجام این کار در وسط یک نیشخند آزاد است.

به طور خلاصه، در برابر یک الگوریتم به منظور انتخاب رمزهای عبور با کاراکترهای مکرر بهینه شده است، قدرت رمز عبور می تواند باشد تخمین زده می شود که همه رقم های متوالی را از اول به دست می آورند تا طول موثر L را بدست آورند. آنتروپی تئوری تقریبا (charset * N) ^ L 'است، جایی که N حداکثر تعداد تکرارهایی است که مهاجم برای آن آزمایش می کند.

در برابر یک الگوریتم بهینه شده برای کارایی نیروی بی رحم، تنها رقم های متوالی در انتها باید کاهش یافته است. آنتروپی تئوری با یک الگوریتم ساده و ساده می تواند charset ^ (L'-1) * (charset + N) باشد. هر الگوریتم عملی برای بسیاری از پسوندها در حال آزمایش است، هر چند (گذرواژه ها اغلب به "1" یا "1!" برای دور زدن قوانین پیچیدگی پایان می دهند).

این همه مربوط به الگوریتمی است که مهاجم از آن استفاده می کند. واژه نامه ها، از جمله لیست های رمز عبور نشت شده، به طور کلی برای اولین بار مورد آزمایش قرار می گیرند.

نوشته‌شده در

هشدار رمز عبور: حافظه کلمه عبور ذخیره نشده است که برای رمزگشایی رمز عبور طراحی نشده است

من در مورد راه هایی که ممکن است در وبلاگ من اتفاق بیافتد، حدس زدم، اما موضوع مهم این است که رمز عبور شما توسط سرور به عنوان متن ساده دریافت می شود. (بله، آن را در یک جریان TLS است، اما قبل از اینکه به لایه کاربرد منتقل شود، رمزگشایی شده است.) بسیار احتمال دارد که نوعی کد اشکال زدایی به طور تصادفی فعال شود و در نتیجه درخواست HTTP، RPC بین سرویس های میکروسافت یا برخی دیگر فرم محصول متوسط ​​

این (به احتمال زیاد) «ورود به سیستم رمز عبور» را نمی دهد، بلکه بیشتر شبیه «اجازه می دهد که این درخواست های serialized JSON را به سرویس های backend وارد کنیم» و یکی از این سرویس ها به عنوان پشتیبان احراز هویت بود.