Lösenordsknäckning i C#

Gratis webinar

Webinar2.pptx.pdf

Lunchkodning med
Stefan
Lösenordsknäckning i C#
Kod från https://github.com/aspcodenet/WebSec2Demo
Stefan Holmberg, Systementor AB

Agenda
•

Hur kan applikationer lagra lösenord
• klartext?
• krypterat?
• hashat? ← BEST PRACTICE

• Recept
• Om hashning är “safe” - hur kan vi knäcka såna lösenord?
• Teori - så kan vi göra!
• Vi kodar… och knäcker lösenord!
• Kod får ni på https://github.com/aspcodenet/WebSec2Demo
• Vad kan vi göra för att skydda oss! Bara jättekort idag
• SALT
• MFA

Om mig
• Eget företag i 23 år
• Konsultat som Webutvecklare( .NET stack ) bank/finans/ecommerce
• Utbildar inom IT (.NET, IOT, Säkerhet, Java)
• SAAS tjänster Cloud
• Äger/driver gym
• Investeringar

https://systementor.se

Lösenord
Best practice today
Var lagras dom?
Hur? Kryptering?
Nyckel?

https://systementor.se

Plaintext
Of course not...

Men kryptering då? FARLIGT: om den enda krypteringsnyckeln
försvinner så är allt läckt!
https://systementor.se

Hashing

Vid skapande av konto:
beräkna en HASH för
lösenordet som
användaren valt. Spara
HASH i databasen

Algoritm (er) för
ONE way defuscation.
Dvs det går inte att från
en hashtext räkna ut vad
originalet är…

Vid login - beräkna en
HASH av det användaren
skrivit in...och jämför det
med vad vi har i databasen!

Ex hasha 2,7GB Linux ISO. Såklart
all information INTE finns i 32bytes HASH
https://systementor.se

Svaghet???
• Samma algoritm => samma hash alltid...

• Även oberoende av site osv!!!
https://systementor.se

https://hashes.org

Låt oss säga att nån kommer över din
lösenordsfil
1. Ladda ner med common
passwords....alltså seriöst
det finns filer
med miljontals poster
2. Skapa hashar på alla
dom posterna...
3. Matcha mot

4. Träff!? Japp...bara att
logga in

https://systementor.se

Men ingen kommer över en lösenordsfil
https://en.wikipedia.org/wiki/List_of_data_breaches

https://systementor.se