Keresés: - [Re:] [crey:] Jelszavak az Ügyfélkapu rendszerben

Legfrissebb anyagok

Mobilarena témák

PROHARDVER! témák

IT café témák

GAMEPOD témák

LOGOUT témák

Keresés

Új hozzászólás Aktív témák

#50 Egon nagyúr UnA #49

Új Válasz 2020-06-01 08:38:38 #50
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Egon

nagyúr

válasz UnA #49 üzenetére

Ha fogalmad sincs, hogy miről szól egy ilyen történet, minek okoskodsz bele?
Jelszóhash törés történik, az ilyen ellen nem véd a próbálkozások számának csillapítása, csaxólok...
#48 Egon nagyúr UnA #46

Új Válasz 2020-05-31 20:05:53 #48
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Egon

nagyúr

válasz UnA #46 üzenetére

LOL...
#45 Egon nagyúr dabadab #44

Új Válasz 2020-05-31 19:10:55 #45
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Egon

nagyúr

válasz dabadab #44 üzenetére

Tudtam, hogy nem állod meg.
1. Az számít, hogy mi fordul elő a gyakorlatban. Az elmélet meg egy másik dolog. Konkrét eseten talántunk a fenti konfigurációval, ami biztos vagyok benne, hogy nem egyedi.
2. Az alap állítás az volt, hogy "Brute force nak mindegy, hogy értelmes szó vagy nem, csak is a hossz a mérvadó". Ez általánosságban teljes mértékben igaz, hiszen brute force törés ugyanannyi idő alatt talál meg egy értelmes jelszót, mint egy értelmetlent. Ebbe az evidenciába sikerült belekötnöd. Az másodlagos, hogy hány karakterig van értelme így törni: az alap állítás általánosságban igaz volt (persze rontana a tévedhetetlen önimázsodon ezt beismerned - inkább kötöd az ebet a karóhoz, egyre jobban beégetve magad... ).
3. Hány darab sérülékenység vizsgálatban vettél részt életedben? Én már túlvagyok páron...
#43 Egon nagyúr dabadab #42

Új Válasz 2020-05-31 18:12:58 #43
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Egon

nagyúr

válasz dabadab #42 üzenetére

Rogue AP-t használtunk, Radius szerveres authentikáció volt, Windows-os, AD authentikált. NTLM v1 jelszó volt, egy jobb GPU 5-6 óra alatt megtörte (3 óra alatt lett kész Hashcat-tel). Egy teszt user lett megtörve a megállapodásnak megfelelően, direkt képzett jelszóval, ami teljesen random volt (kis- és nagybetűt, valamint számot is tartalmazott) - annyit "csaltunk", hogy csak a fenti 3 összetevőt állítottuk be a törő programba, speciális karaktert nem (mivel az adott cég vpn-je nem szerette a speciális karaktereket, ezért azt hanyagolták jelszóképzésnél).
Egyéb okoskodás?
#40 Egon nagyúr crey #3

Új Válasz 2020-05-30 12:33:18 #40
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Egon

nagyúr

válasz crey #3 üzenetére

Valami eszméletlen ostoba konstrukció lehet, ami miatt nem fogadja el a 11 karakteres jelszót - ugyanakkor a leet abc ugyanúgy szótárazható, én kifejezetten ellenzem a használatát jelszóképzésre.
#39 Egon nagyúr dabadab #26

Új Válasz 2020-05-30 12:31:44 #39
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Egon

nagyúr

válasz dabadab #26 üzenetére

Hogyne lenne igaz. Általánosságban tök igaza van.
Amúgy meg a közelmúltban törtünk fel brute force-szal egy wifi sérülékenység vizsgálatnál céges jelszót, mivel a policy megengedte a 8 karakter használatát. De te nyilván jobban tudod, hiszen egészen biztosan etikus hackerként dolgozol, netalántán ilyen csapatot vezetsz...