Chefkonsulent Shehzad Ahmad, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
Hackere kan knække passwords hurtigere ved at udnytte regnekraften i grafikkort. Men det betyder ikke, at sikkerheden i trådløse netværk er forsvundet.
Den tanke kunne man ellers få, når man læste om nyheden i starten af måneden.
Det russiske softwarehus Elcomsoft har skrevet en ny udgave af deres program til at knække passwords med.
Den anvender regnekraften i de processorer, som indgår i grafikkort fra Nvidia.
Teknikken skulle gøre det 100 gange hurtigere at knække et password.
Vagt i gevær
Nogle sikkerhedsfirmaer var hurtige til at råbe vagt i gevær: Nu er sikkerheden i WPA (Wi-Fi Protected Access) knækket.
Fremover er man nødt til at beskytte sig med VPN-teknologi (virtuelle private netværk).
Så galt er det heldigvis ikke.
I øvrigt teknikken ikke specielt rettet mod at knække WPA-passwords, der bruges til at beskytte trådløse netværk. Den er en generel teknik, der kan bruges til at knække alle former for passwords.
Tager tusindvis af år
Og ja, man kan nu knække et password 100 gange hurtigere.
Vi taler her om metoden "brute force," hvor programmet afprøver alle muligheder, til det finder det rigtige password.
Sikkerhedsforsker George Ou har regnet på tallene: Hvis man bruger et password på 10 tilfældigt valgte bogstaver og tal, vil det normalt tage 579.300 år at knække det med en standard-pc.
Med det nye program er vi altså nede på 5.793 år.
For at sætte farten op kunne vi pudse pc'erne i et botnet på regneopgaven. Et typisk mindre botnet med 10.000-20.000 pc'er vil kunne klare opgaven på to-tre måneder.
George Ous råd: Udvid dit password til 12 tegn, så er du lige så sikker som før.
Kun PSK er i fare
Når det gælder trådløse netværk, kan metoden kun bruges til at angribe dem, der bygger på et fælles password, som alle pc'er på nettet bruges. Det kaldes PSK (pre-shared key).
PSK er standardmetoden hos private.
De fleste virksomheder anvender derimod de mere sikre udgaver af WPA, hvor man trækker på en RADIUS-server eller anvender krypterede autentifikationsprotokoller som PEAP eller EAP-TLS. De er derfor ikke i farezonen.
Så jeg konkluderer, at der ikke er nogen grund til panik.
Brug WPA med et langt og sikkert password, hvis I ikke har mulighed for at køre RADIUS eller lignende. Så er det trådløse netværk lige så sikkert som før.
Oprindelig bragt på Computerworld Online fredag den 31. oktober 2008
LINKS
George Ous blog
Elcomsofts program, Distributed Password Recovery