Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Wachtwoorden kraken door ritme toetsaanslagen

Door , 88 reacties, bron: vnunet.com

VNUNET.com schrijft dat een groep onderzoekers van de Berkeley universiteit in California een nieuwe zwakte hebben ontdekt van SSH (Secure Shell). Laatst was al ontdekt dat wachtwoorden van twee tekens lang geen beveiliging bieden, en nu blijkt dat wachtwoorden afgeluisterd kunnen worden.

SSH stuurt elk teken wat de gebruiker intikt meteen door naar een andere machine. Door deze packets af te luisteren en wat geavanceerde statistische technieken los te laten op het patroon waarmee dat gebeurt wisten de onderzoekers succesvol wachtwoorden te raden. Als je (veel) meer wilt weten over deze methode kan je hier terecht voor een 16 paginaís tellende whitepaper :

SSH was designed as a secure channel between two machines, based on strong encryption and authentication. But by observing the rhythm of keystrokes, and using advanced statistical techniques on timing information collected, attackers can pick up significant details.

Each keystroke from a user is immediately sent to the target machine as a separate IP packet. By performing a statistical study on a user's typing patterns, and applying a key sequence prediction algorithm, the researchers managed to successfully predict key sequences from inter-keystroke timings.

A password cracker program, dubbed Herbivore, was developed on the back of the research. Herbivore is capable of learning a user's password by monitoring SSH sessions.

Met dank aan Theswitch voor de tip!

Door Hielko van der Hoorn

23-08-2001 • 17:00

88 Linkedin Google+

Bron: vnunet.com

Reacties (88)

Wijzig sortering
Huh, dit had ik zondag of maandag ofzo al gesubmit, maar het werd niet geplaatst, dus ik d8 laat maar zitten. En nu wordt het door iemand anders gesubmit en het wordt wel geplaatst, wordt ik nu geboycot ??
ach, je bent niet de enige. En niet alleen hier. Elke scene bouwt zijn eigen 'vrientjes'. Kijk maar naar de Demo scene. Gelukkig is het daar de 'politiek' gebaseerd op kunnen en niet op kennen, maar dat komt hier misschien ook nog wel.
Wie weet nadat men er eindelijk uit is wat men onder een 'tweakers LAN' verstaat, en wat men er wil gaan doen.
btw, no flame intended, maar bij mij persoonlijk is daar nogal wat onduidlijkheid over. Moet ik het mij voorstellen als...
lama, ik post het wel ergens op gathering.tweakers.net
Gewoon 3x opnieuw intikken en elke keer wissen met een onregelmatige aanslag van de backspaceknop......
Laatst was al ontdekt dat wachtwoorden van twee tekens lang geen beveiliging bieden
Dat was al veeeel langer bekend. }>

Minstens 8 tekens lijkt me beter.

edit:
wel onbegrijpelijk, zo'n overbodig mod... wachtwoorden van 2 tekens is bad, bad practice!
Waar maken mensen zich zo druk over...alles kan gekraakt worden. Sterker nog, je hebt 50% kans dat het gebeurd en 50% kans dat het niet lukt.

It's easy as that :+
Ik copy en paste mijn wachtwoorden altijd, is dit ook nuttig in deze 'discussie'? :D
Laat maar.
Wachtwoorden raden? haha, leuk als je een md5 hash met hoofdletters en kleine letters uit de kop leert, kan je overal gebruiken, je kunt het aan iedereen vertellen, maar niemand die het je kan navertellen (laat staan dat ze het kunnen opschrijven). Ik denk niet dat het makkelijk is om dat zo ff te raden met ritme.

BTW: Die code tik ik bijna evensnel als mijn pincode...
1 2 3 4

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*