mboost-dp1
unknown
Damn... det var pænt hurtigt!
Nå men så bliver der vel lavet en ny algoritme. (Hvis MS ikke benægter)
Nå har ikke tid til at skrive mere lige nu, skal ud og købe ram cya' ;)
Nå men så bliver der vel lavet en ny algoritme. (Hvis MS ikke benægter)
Nå har ikke tid til at skrive mere lige nu, skal ud og købe ram cya' ;)
Jeg tænkte også at lanman var noget jeg havde hørt fra 9x tiden.
Da jeg læste artiklen så jeg det var rigtigt.
Faktisk kunne du lige så godt bare få ham til at køre en regfil der sætter lanman til at gøre dig administrator hvis jeg husker korrekt.
Da jeg læste artiklen så jeg det var rigtigt.
Faktisk kunne du lige så godt bare få ham til at køre en regfil der sætter lanman til at gøre dig administrator hvis jeg husker korrekt.
Udfra faq på deres hjemmeside kan den da også finde syskey password.
http://lasecpc13.epfl.ch/ntcrack/faq.php
http://lasecpc13.epfl.ch/ntcrack/faq.php
Da jeg lige læste overskriften på slashdot, troede jeg nu også at det var de nyere versioner der var problemer med.
På den anden side er der en del steder ude i verden hvor de stadigvæk bruger meget gamle versioner af software. Det var da at læse at munchen stadig brugte win 3.1 på en del maskiner (og når de nu skiftede til linux ville køre disse i vmware for at kunne bruge deres gamle applikationer). Set med de øjne er det her måske ikke så heldigt, da alle win9x netværk (eller netværk med win9x brugere) nok vil være sårbar for dette "problem".
På den anden side er der en del steder ude i verden hvor de stadigvæk bruger meget gamle versioner af software. Det var da at læse at munchen stadig brugte win 3.1 på en del maskiner (og når de nu skiftede til linux ville køre disse i vmware for at kunne bruge deres gamle applikationer). Set med de øjne er det her måske ikke så heldigt, da alle win9x netværk (eller netværk med win9x brugere) nok vil være sårbar for dette "problem".
Nice, for en gang skyld næsten nye, ny-heder. Læste det i går aftes, det er lige under 24 timer. Rart at se at i strammer jer an.
cybermike: Hvis du kigger ude i venstre side er der et link hvor der står "Indsend nyhed". Prøv at gætte hvad det er til, hvis du nu ser en nyhed...
#10
Har du ikke lyst til at dele alle dine gode kilder med mere ydmyge personer, såsom jeg selv, ved at indsende nogle af alle de dugfriske nyheder du åbenbart kender til flere dage før mig, til newz.dk? :)
Jeg er personligt ikke optaget af, hvorvidt det stof jeg læser er 24 eller 48 timer gammelt, det jeg lægger vægt på er nu engang at jeg får en grundig gennemgang af de enkelte nyheder, og ikke så meget om jeg får beskeden 10 eller 20 millisekunder efter en begivenhed første gang er blevet offentliggjort på nettet.
Har du ikke lyst til at dele alle dine gode kilder med mere ydmyge personer, såsom jeg selv, ved at indsende nogle af alle de dugfriske nyheder du åbenbart kender til flere dage før mig, til newz.dk? :)
Jeg er personligt ikke optaget af, hvorvidt det stof jeg læser er 24 eller 48 timer gammelt, det jeg lægger vægt på er nu engang at jeg får en grundig gennemgang af de enkelte nyheder, og ikke så meget om jeg får beskeden 10 eller 20 millisekunder efter en begivenhed første gang er blevet offentliggjort på nettet.
Det er nok nogle der følger bugtraq, den kom i går formiddags ;)
bugtraq post: http://securityfocus.com/archive/1/330004
bugtraq post: http://securityfocus.com/archive/1/330004
#3-7: Det ER nyere versioner - det er ALLE Windows versioner - og Un*x-varianter, som dog tager en smule længere at knække. Så det ser ud til at vi alle er i samme båd.
Pointen er vel at passe meget godt på sine "krypterede" passwords - og det ligemeget hvilket system man sidder på.
Pointen er vel at passe meget godt på sine "krypterede" passwords - og det ligemeget hvilket system man sidder på.
#15
Nej, Unix/Linux passwords er sikrere, for de bruger(i de fleste tilfælde) random data i deres passwords. Og som der også står i artiklen, tager det 4096 gange længere tid at knække dem. Linux passwords er sikrere. Men det er altså en simpel sag for Microsoft at få det ændret, hvis de da ikke allerede har gjort det, ka ikke rigtigt finde ud af om de har, og indlæggene her er jo pænt modsigende...:)
#1
NT-HASHEN sendes over netværket når der skal godkendes. Du kan let opsnappe den vha. ARP Poisoning. (se f.ex. oxid.it)
Nej, Unix/Linux passwords er sikrere, for de bruger(i de fleste tilfælde) random data i deres passwords. Og som der også står i artiklen, tager det 4096 gange længere tid at knække dem. Linux passwords er sikrere. Men det er altså en simpel sag for Microsoft at få det ændret, hvis de da ikke allerede har gjort det, ka ikke rigtigt finde ud af om de har, og indlæggene her er jo pænt modsigende...:)
#1
NT-HASHEN sendes over netværket når der skal godkendes. Du kan let opsnappe den vha. ARP Poisoning. (se f.ex. oxid.it)
#20 mh:
Tjah... IMHO er det ikke nødvendigvis en fordel (sikkerhedsmæssigt) at opgradere fra win9x -> win2k, fordi det for det første giver øget kompleksitet for brugeren (Der skal sætte computeren op), og for det andet fordi der mig bekendt (Kan godt være der er metoder jeg ikke kender til) ikke er en nem måde at køre kommandoer på en anden computer, hvis den anden computer er win9x. Hvis computeren derimod er win2k (Og man kender et brugernavn/password) findes der flere metoder, bl.a. psexec fra www.sysinternals.com, og remoexec fra www.securityfriday.com.
Tjah... IMHO er det ikke nødvendigvis en fordel (sikkerhedsmæssigt) at opgradere fra win9x -> win2k, fordi det for det første giver øget kompleksitet for brugeren (Der skal sætte computeren op), og for det andet fordi der mig bekendt (Kan godt være der er metoder jeg ikke kender til) ikke er en nem måde at køre kommandoer på en anden computer, hvis den anden computer er win9x. Hvis computeren derimod er win2k (Og man kender et brugernavn/password) findes der flere metoder, bl.a. psexec fra www.sysinternals.com, og remoexec fra www.securityfriday.com.
#19: 30sek x 4096 er lidt over et døgn, hvilket ikke er specielt lang tid IMO - men stadig bedre end de 30 secs. Men lad os da håbe at alle OS'er får opgraderet!
Endvidere så skriver de også, at det vil tage længere tid, hvis:
- Password > 7 bogstaver.
- Password indeholder specialtegn (ikke kun a-z & 0-9)
Så de gode gamle regler om, hvad man _burde_ have some password gælder stadig. :)
Endvidere så skriver de også, at det vil tage længere tid, hvis:
- Password > 7 bogstaver.
- Password indeholder specialtegn (ikke kun a-z & 0-9)
Så de gode gamle regler om, hvad man _burde_ have some password gælder stadig. :)
lidt som den berømte l0phtcrack....
http://www.atstake.com/research/lc/
kan også findes på:
http://packetstormsecurity.nl
med 2G ramdisk kunne man nok speede den op ;-)
http://www.atstake.com/research/lc/
kan også findes på:
http://packetstormsecurity.nl
med 2G ramdisk kunne man nok speede den op ;-)
Har jeg forstået tingenes sammenhæng korrekt, når jeg siger at man skal være administrator på systemet for at have adgang til hash-værdien?
Vil man ikke, som administrator, altid have ubegrænset adgang til brugernes data, uanset om man kender deres adgangskode eller ej, uden at dette logges alligevel?
Ups, tingene er forklaret i indlæg #19
Er der til gengæld nogen, der kan forklare mig, hvorledes et Unix-system kan tilføje tilfældig data når en hash-værdi skal genereres? Hvordan fremkommer den selvsamme hasværdi så, næste gang en bruger indtaster sin adgangskode?!
Vil man ikke, som administrator, altid have ubegrænset adgang til brugernes data, uanset om man kender deres adgangskode eller ej, uden at dette logges alligevel?
Ups, tingene er forklaret i indlæg #19
Er der til gengæld nogen, der kan forklare mig, hvorledes et Unix-system kan tilføje tilfældig data når en hash-værdi skal genereres? Hvordan fremkommer den selvsamme hasværdi så, næste gang en bruger indtaster sin adgangskode?!
#25 god point! :-)
Jeg mener ikke at det er så stort et problem som folk går og mener... Tag dog og brug lidt mere eksotiske passwords...
Det kan godt blive lidt at et problem at opsnappe passwords på et switched netværk... Med mindre at du har en smart måde at få samme mac addresse som en logon server...
Tja... Det var vist alt... Til alle dem som tror de er linux nørder fordi de har fået installeret gnome / kde... VÅGN OP!!! GU ER I EJ!!! Jeg er træt af BØRN som tror de ved noget om det her fag...
Hav en hyggelig dag...
PS. Jeg ser en nørd som en specialist i computer, ikke en som siddder og spiller computer hele dagen...
Jeg mener ikke at det er så stort et problem som folk går og mener... Tag dog og brug lidt mere eksotiske passwords...
Det kan godt blive lidt at et problem at opsnappe passwords på et switched netværk... Med mindre at du har en smart måde at få samme mac addresse som en logon server...
Tja... Det var vist alt... Til alle dem som tror de er linux nørder fordi de har fået installeret gnome / kde... VÅGN OP!!! GU ER I EJ!!! Jeg er træt af BØRN som tror de ved noget om det her fag...
Hav en hyggelig dag...
PS. Jeg ser en nørd som en specialist i computer, ikke en som siddder og spiller computer hele dagen...
#28
"Det kan godt blive lidt at et problem at opsnappe passwords på et switched netværk... Med mindre at du har en smart måde at få samme mac addresse som en logon server..."
sikker på du ved nok om det selv? (switched netværk er ikke et problem med det du snakker om), tjek f.eks hvad der faktisk er muligt på sites ala; http://ettercap.sourceforge.net/forum/
"Det kan godt blive lidt at et problem at opsnappe passwords på et switched netværk... Med mindre at du har en smart måde at få samme mac addresse som en logon server..."
sikker på du ved nok om det selv? (switched netværk er ikke et problem med det du snakker om), tjek f.eks hvad der faktisk er muligt på sites ala; http://ettercap.sourceforge.net/forum/
#25
Jeg kan ikke forklare dig hvordan det virker, men jeg kan sige at det gør den heller ikke. Prøv f.ex. at tage en password generator, f.ex. en af dem de forskellige IRCd's bruger og indtast det samme password flere gange, det skulle meget gerne give forskellige værdier. Men hvorfor og hvordan det virker vil jeg ikke gøre mig klog på...Før jeg da har undersøgt det lidt...
Jeg kan ikke forklare dig hvordan det virker, men jeg kan sige at det gør den heller ikke. Prøv f.ex. at tage en password generator, f.ex. en af dem de forskellige IRCd's bruger og indtast det samme password flere gange, det skulle meget gerne give forskellige værdier. Men hvorfor og hvordan det virker vil jeg ikke gøre mig klog på...Før jeg da har undersøgt det lidt...
#32:
iden med krypteret passwords jeg jo lige netop at man ikke behøver at skjule dem.
Ahh.. det ved jeg nu ikke om jeg er enig med! Man har længere tid til at skifte dem det øjeblik de bliver opdaget vil jeg snarere mene!
Det er jo ikke uden grund man bruger shadow passwords under *nix, netop så alle ikke kan læse den krypterede passwords!
iden med krypteret passwords jeg jo lige netop at man ikke behøver at skjule dem.
Ahh.. det ved jeg nu ikke om jeg er enig med! Man har længere tid til at skifte dem det øjeblik de bliver opdaget vil jeg snarere mene!
Det er jo ikke uden grund man bruger shadow passwords under *nix, netop så alle ikke kan læse den krypterede passwords!
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund