Распределённое хранение парольных хэшей

image

Массовые утечки парольных хэшей вроде тех, которые недавно случились с Linkedin (6,5 млн хэшей), оказались возможными в том числе по той причине, что все парольные хэши хранились в единой базе. Есть специальный инструментарий, который позволяет быстро проверять, какому паролю соответствует каждый хэш, проверяя его по заранее сгенерированной базе соответствий хэшей паролям (радужные таблицы), а также генерируя недостающие хэши на высокопроизводительных GPU (брутфорс), с использованием словарей.

Люди часто используют одинаковые пароли на разных сервисах, поэтому одна большая утечка паролей создаёт лавинообразный эффект по взлому других сайтов и почтовых ящиков пользователей.

Исследователи из компании RSA предложили логичный способ улучшения защищённости сайтов в области хранения паролей. Идея в том, чтобы разделить каждый парольный хэш на две части и хранить их на разных серверах. Демонстрационную систему для разделения парольных хэшей разработали в исследовательском подразделении RSA Laboratories в Кембридже (Массачусетс). Руководитель подразделения, доктор Ари Джуелс (Ari Juels) говорит, что их система разделяет хэш на две части. Байты для первой половины выбираются случайным образом. Оставшаяся часть хранится во второй базе. Восстановить пароль по одной половине хэша математически невозможно.

Таким образом, для кражи всех паролей злоумышленнику нужно будет получить доступ не к одной, а к двум базам. Кроме того, он должен узнать алгоритм для сборки хэшей. Такая задача на порядок сложнее, чем просто утянуть единую базу.

Ари Джуелс говорит, что самая «магическая» часть новой системы аутентификации — возможность проверки правильности пароля пользователя без сборки хэша воедино, путём отправки аутентификационных запросов к двумя серверам, где хранятся две части хэшей. Таким образом, в системе не остаётся места, где бы парольные хэши хранились в собранном виде.

RSA обещает начать продажи программного обеспечения до конца текущего года. Хотя сама концепция распределённого хранения хэшей высказывалась и раньше, это будет первое коммерческое ПО, реализующее данную идею. Разработка open source проекта, реализующего данную концепцию, ведётся в Mozilla. См. также библиотеку Paillier Threshold Encryption Toolbox.

Подробнее: http://www.xakep.ru/post/59456/default.asp

Читать комменты и комментировать

Добавить комментарий / отзыв



Защитный код
Обновить

Распределённое хранение парольных хэшей | | 2012-10-10 15:40:00 | | Статьи об Интернет безопасности | | Массовые утечки парольных хэшей вроде тех, которые недавно случились с Linkedin (6,5 млн хэшей), оказались возможными в том числе по той причине, что все парольные хэши хранились в единой базе. Есть специальный инс | РэдЛайн, создание сайта, заказать сайт, разработка сайтов, реклама в Интернете, продвижение, маркетинговые исследования, дизайн студия, веб дизайн, раскрутка сайта, создать сайт компании, сделать сайт, создание сайтов, изготовление сайта, обслуживание сайтов, изготовление сайтов, заказать интернет сайт, создать сайт, изготовить сайт, разработка сайта, web студия, создание веб сайта, поддержка сайта, сайт на заказ, сопровождение сайта, дизайн сайта, сайт под ключ, заказ сайта, реклама сайта, хостинг, регистрация доменов, хабаровск, краснодар, москва, комсомольск |
 
Поделиться с друзьями: