Videokaarten, de nieuwe dreiging voor je wachtwoord

Software
Redactie WINMAG Pro
De grafische processor van een moderne videokaart is niet alleen goed voor mooi beeld. Hij kan ook wachtwoorden kraken, met bruut geweld - in uren in plaats van de maanden die een (snelle) normale processor nodig heeft. Dat kan gevaren met zich meebrengen.

Tekst: Steven Bolt

Er zijn vier manieren om een wachtwoord te verliezen:

  • Phishing - de webpagina waar je op inlogt lijkt op de echte, maar is het niet. Met wat pech wordt je alsnog automatisch ingelogd waar je wezen wilde, zodat je niet merkt dat je wachtwoord en gebruikersnaam zijn gestolen. En varianten op dit thema.
  • Keylogger - iets of iemand installeert software of hardware op of in je PC, die ingetikte combinaties van naam en wachtwoord als zodanig herkent en doorgeeft aan zijn meester.
  • Massaal giswerk - de kraker bestookt de inlogserver van een organisatie met een groot aantal gebruikersnamen en enkele voor de hand liggende wachtwoorden. Wie zijn eigen naam ook benut als wachtwoord heeft pech.
  • Brute rekenkracht - de kraker concentreert zich op jouw account en rekent door tot hij je wachtwoord heeft gevonden.

Tegen dat laatste scenario beveiligen we ons door een wachtwoord regelmatig te verversen; veel beheerders denken dat eens per maand wel redelijk is. Terecht?

Gezouten hashes

Inlogsystemen bewaren alle geregistreerde namen op schijf, maar niet de wachtwoorden. In plaats daarvan worden 'hashes' berekend. Procedures zoals sha (secure hash algorithm) garanderen dat er geen manier is om een hash terug te rekenen naar het wachtwoord. 

Toch is kraken mogelijk, want een correcte procedure levert voor elke input een enkele unieke hash. Via een 'woordenboek' van populaire wachtwoorden en hun hashes - denk aan gewone woorden en namen plus wat cijfers - heeft een kraker snel vat op gelekte inlogdata. Zulke lekken zijn niet zeldzaam. Begin juli publiceerde de krakersgroep AntiSec dit lijstje, gestolen van Apple. Het is slechts een van de vele bekende lekken in de afgelopen maanden.

De beste verdediging is 'cryptografisch zout'. Verleng het wachtwoord met een willekeurig getal, bereken dan de hash en bewaar hem samen met het zout. Zo ontstaan miljarden mogelijke hashes voor hetzelfde wachtwoord, te veel voor een woordenboek. Controle van een inlog wordt nauwelijks meer werk; een kwestie van het ingetikte wachtwoord hashen met het zout dat samen met de oorspronkelijke hash en de gebruikersnaam werd opgeslagen, waarna de nieuwe hash gelijk moet zijn aan die op schijf. Maar voor de kraker is de korte weg van het woordenboek afgesloten. Per inlog moet hij gezouten hashes blijven berekenen tot hij stuit op het passende wachtwoord. En dat kan heel lang duren. Of niet?

Cryptografisch talent

Moderne games vragen veel van een pc. Het gevolg is een forse markt voor gespierde grafische processors, die heel betaalbaar zijn geworden. Ze onderscheiden zich van de normale cpu op het moederbord door hun parallelle rekenwerk, een talent dat zich leent voor meer dan pixels. In games verzorgen ze ook de natuurkundige aannemelijkheid van vloeistoffen, rook, vuur, explosies en dergelijke. Daarbuiten worden ze ingezet voor allerlei wetenschappelijke arbeid, waaronder cryptografische toepassingen.

Ighashgpu is het werk van Ivan Golubev. De software kan nVidia en Ati videokaarten gebruiken voor de berekening van al dan niet gezouten hashes in diverse smaken. Geweldige snelheden genoemd in de handleiding worden bevestigd door een onderzoekje van de Indiase blogger Vijay Devakumar. Hij gaf ighashgpu een Radeon 5770 videokaart om mee te werken. Te koop voor circa 110 euro, dus geen echt duur gereedschap. Als doelwit koos hij het ntlm-systeem (nt lan manager) van Microsoft, zoals gebruikt voor de beveiliging van cifs/smb.

Wachtwoord niet nodig

Na inkloppen van een ntlm hash (of beter gezegd een nt hash, type md4) werd het bijbehorende alfanumerieke wachtwoord 'fjR8n' gevonden in minder dan een seconde. Een langer woord biedt uiteraard meer bescherming; acht aanslagen is gebruikelijk. Zelfs als de keus beperkt blijft tot letters en cijfers heeft de cpu op het moederbord van een snelle pc daar zeker een maand voor nodig, als het geen jaar is. De Radeon 5770 deed het in 18,5 uur. Serieuze krakers beschikken ongetwijfeld over aanzienlijk snellere hardware.

Wat te doen? Een heel lang en ijzersterk wachtwoord is niet altijd afdoende. Denk aan een 'pass the hash' aanval, die sommige systemen (waaronder ntlm) kan verleiden tot het openen van hun deuren op vertoon van de hash zelf - wachtwoord niet nodig. En vergeet niet dat niemand immuun is voor keyloggers en bekwame phishing.

Het is helaas een feit: geen enkele digitale toegangscontrole is waterdicht. Beperk de mogelijke schade door niet overal hetzelfde wachtwoord te gebruiken. En vercijfer gevoelige bestanden, ook als ze achter een goed bewaakte poort liggen.

Lees meer

Visma YouServe lanceert HR Chatbot wet- en regelgeving
Visma YouServe lanceert HR Chatbot wet- en regelgeving
DTC stimuleert cyberoefenen met crisisgame
DTC stimuleert cyberoefenen met crisisgame
Databricks brengt met het Data Intelligence Platform for Energy de kracht van Generatieve AI naar de energiesector
Databricks brengt met het Data Intelligence Platform for Energy de kracht van Generatieve AI naar de energiesector
Klantcontact voorlopig nog kwestie van menselijke interactie én AI
Klantcontact voorlopig nog kwestie van menselijke interactie én AI
CyberArk introduceert identity security dashboard voor managed service providers
CyberArk introduceert identity security dashboard voor managed service providers
Redactie WINMAG Pro
Door: Redactie WINMAG Pro
Redactie

Redactie WINMAG Pro

Redactie