W dniu 2020-06-10 o 22:44, Krzysztof Halasa pisze:

>> Jeśli jutro do złamania nie wydłużanego hasła w rozsądnym czasie
>> wystarczy mu jeden komputer to do złamania w tym samym czasie hasła,
>> które zostało wydłużone będzie potrzebował miliona komputerów.
>> Tylko tyle i aż tyle.
>
> Ale dlaczego w tym samym czasie.

Bo jeśli znalezienie hasła nie wydłużanego trwałoby na sprzęcie
posiadanym przez atakującego miesiąc to ma on realną szansę powodzenia.
Atakujący nie dożyłby końca ataku trwającego milion miesięcy więc aby
atak był skuteczny to powinien zaangażować więcej mocy obliczeniowej.

> To może być znacznie dłużej.
> Np. niejaki John łamie proste hasła na moim starym firmowym komputerze
> (czasem zdarza mi się analizować takie rzeczy) w ciągu sekund.

Jeśli ktoś stosuje aż tak słabe hasła to sam się prosi o problemy i
dlatego nie czuję się odpowiedzialny za złamanie jego hasła.
Miałem na myśli hasła, wymagające jednak jakiegoś realnego czasu na
złamanie.

> Nie widzę
> jednak żadnego problemu, by zostawić go z tym na nockę, albo i na
> miesiąc.

Nawet przy takich założeniach jest różnica, czy po miesiącu masz złamane
hasło jednego użytkownika, czy miliona użytkowników.

>> A takie utrudnienia kosztuje nas sekundę przy każdym sprawdzaniu hasła.
>> To nie wygórowana cena.
>
> Jeśli robimy to raz dziennie. Bo jeśli co sekundę, to owszem - jest
> wygórowana.

Mówimy o logowaniu się użytkowników (ludzi) a nie użytkowników
(komputerów), bo w tym drugim przypadku nie ma problemu, aby hasło było
dowolnie długie i bez naleciałości językowych.


> Poza tym, jest też problem motywacji. Jaką motywację miałby mieć
> właściciel serwera? To nie są jego hasła. On oczywiście nie chce, by
> ktoś niepowołany dostał dostęp do takich danych, ale jeśli już dostanie,
> to czy łamanie będzie trwało 2 sekundy, czy 200 lat, to już nie jego
> zmartwienie.

Nigdy nie byłem właścicielem serwera, ale wyobrażam sobie, że ktoś
(jakieś służby) zupełnie inaczej ocenią wyciek danych w obu przypadkach.

>> Jeśli jest jakiś powód stosowania haseł to jest też naturalne aby
>> złamanie było możliwie utrudnione.
>
> Nie widzę takiej implikacji. Czym innym byłoby podsłuchanie - wtedy
> zgoda, ale złamanie czegoś, do czego tak czy owak nie ma dostępu?

Podobno często najsłabszym ogniwem systemu jest człowiek. Wystarczy
kogoś przekupić i już jest dostęp. No i wtedy jest pytanie ile kosztuje
wyciągnięcie interesujących informacji. Lepiej jak to jest milion razy
drożej.

>> Ale jest też taka ogólna zasada, aby
>> utrudnić wszędzie gdzie się da, bo np. w nieprzewidziany dla nas
>> sposób atakujący wejdzie w posiadanie bazy z hashami haseł.
>
> Nie, nie ma takiej zasady.

Może ująłem to zbyt skrótowo, ale za tą książką pamiętam coś w stylu, że
każdy fragment systemu ma się bronić sam nie licząc na obronę przez
pozostałe fragmenty. Czyli baza danych nie powinna zakładać, że nia ma
do niej dostępu - wręcz przeciwnie - zakłada, że jest dostęp i pytanie
czy się sama obroni.
Oni ogólnie pisali na podstawie swoich doświadczeń jako analitycy
bezpieczeństwa systemów bankowych. Może w 2003 gdy to pisali do innych
systemów nie było potrzeby podchodzić tak restrykcyjnie, ale uważam, że
obecnie to każdy system jest narażony i lepiej jak będzie lepszy niż gorszy.

> Są zasady w efekcie dokładnie przeciwne.
> W szczególności taka mówiąca o kosztach zabezpieczenia oraz ataku,
> i jak się one mają do wartości danych / szkód.

Kosztem zabezpieczenia, o którym ja piszę jest 1s pracy komputera usera
(bo to tam ma być hasło wydłużane/rozciągane) przy każdym logowaniu. No
i jedna sekunda czasu jego życia. Ja do banku loguję się kilka razy w
miesiącu.
Takim kosztem podnosimy koszt ataku milion razy (przy obecnych
komputerach pewnie 10 milionów razy).

>> Użytkownik nie musi wiedzieć, że jest wydłużane.
>
> No ale tego można się łatwo dowiedzieć. Standardowe systemy itd.
> Poza tym, gdyby _wszyscy_ mieli to stosować, to wiadomo że to byliby
> wszyscy.
>
>> A jeśli przekazuje mu się tę wiedzę, to powinien usłyszeć, coś w
>> stylu, że obecnie hasła o długości krótszej niż 80 bitów są uznawane
>> za zbyt słabe.
>
> Przecież dłuższe hasła też mogą być zbyt słabe - wystarczy sprawdzić
> czego john szuka na początku.

Dryfujesz w kierunku nie technicznych aspektów zagadnienia. Nie mam ani
wiedzy, ani czasu aby iść w tym kierunku dyskusji .


> Są zastosowania, gdzie bez czegoś takiego po prostu się nie da. Ale
> stosowanie tego na siłę wszędzie nie wydaje mi się racjonalne.

A mi się wydaje jak najbardziej racjonalne poświęcenie 1s przy logowaniu
aby podnieść koszt ataku milion (lub więcej) razy. I to w każdym systemie.

Jeszcze raz zacytuję co specjaliści napisali w 2003r: "Techniki te są
tak proste i naturalne, że powinny być stosowane we wszystkich systemach
haseł. Ignorowanie ich nie ma żadnego uzasadnienia."
Nie czytałem żadnej nowszej książki więc mogę nie wiedzieć, że coś w tym
względzie się zmieniło.

> Inna sprawa, że z takimi nieracjonalnymi decyzjami zdarza mi się czasem
> spotykać.

To brzmi jakbyś za nieracjonalne uważał to, co oni uważają że powinno
być stosowane we wszystkich systemach haseł.
P.G.