Nieuw systeem voor beveiligen wachtwoorden ontwikkeld
Wetenschappers hebben een nieuw systeem ontwikkeld voor het beveiligen van wachtwoorden, waardoor het zo goed als onmogelijk zou moeten worden om wachtwoorden uit een gestolen database te achterhalen. Dit zou de gevolgen van een gestolen database moeten beperken of zelfs elimineren.
Om wachtwoorden te beschermen gebruiken de meeste databases een hash. Dit is een encryptietechniek die één kant op werkt. Van het wachtwoord van de gebruiker wordt een hash gemaakt, die vervolgens in de database wordt opgeslagen. Een aanvaller die de database steelt kan vervolgens proberen om de hashes te kraken en zo de bijbehorende wachtwoorden te vinden.
Als extra beveiligingsmaatregel kunnen de hashes worden gesalt. Hierbij wordt er willekeurige data aan het wachtwoord van de gebruiker toegevoegd, om hier vervolgens een hash van te maken. Een salt zorgt ervoor dat het langer duurt om de hashes te kraken, maar maakt het niet onmogelijk. Daarnaast kan een aanvaller die toegang tot het systeem heeft ook de salt-waarde achterhalen.
PolyPasswordHasher
Volgens wetenschappers van de New York University Polytechnic School of Engineering is dit geen ideaal systeem en ze hebben daarom een andere oplossing bedacht, genaamd PolyPasswordHasher. Deze methode gebruikt een compleet andere aanpak, waarbij de hashes op een systeem zo worden opgeslagen dat ze alleen kunnen worden gecontroleerd als er een bepaald aantal wachtwoorden bekend zijn. Zonder deze juiste hoeveelheid wachtwoorden is het onmogelijk om een willekeurige hashwaarde te valideren.
13 miljard jaar
Als voorbeeld geven de wetenschappers dat het kraken van drie gehashte en gesalte wachtwoorden op een moderne laptop, die een miljard hashes per seconde kan controleren, ongeveer een uur zou duren. Met PolyPasswordHasher zou dit meer dan 13 miljard jaar zijn, de geschatte leeftijd van het heelal. De wetenschappers stellen dat PolyPasswordHasher de eerste beveiligingsoplossing is die deze aanpak kiest en het eerste softwarematige, single-serversysteem dat de zoekruimte voor een aanvaller exponentieel laat toenemen.
Het systeem kan volgens de wetenschappers dan ook de impact van een gehackte database verminderen of zelfs elimineren. Daarnaast zou PolyPasswordHasher eenvoudig aan bestaande systemen zijn toe te voegen. Op dit moment wordt de beveiligingsoplossing als onderdeel van de Password Hashing Competitie getest.
Als er een probleem optreedt en je moet het systeem restarten. Dan moet je als beheerder eerst een aantal gebruikers zo ver zien te krijgen om te proberen in te loggen, voordat je zelf in kunt loggen. In een aantal gevallen wil je helemaal niet dat gebruikers al bij het systeem kunnen komen. Dat betekent dus dat je een extra set accounts moet maken om na het starten in te kunnen loggen.
Peter
Daar hebben de bedenkers zelf ook aan gedacht (zie het gelinkte artikel). Ze stellen voor om dan zolang er nog niet voldoende geldige wachtwoorden bekend zijn een veel zwakkere authenticatie te doen. Afhankelijk van de context, kan dat het systeem behoorlijk verzwakken, vooral als een aanvaller kan weten wanneer er herstart is of erger: een herstart kan forceren.
Verder is een probleem dat zo gauw een aanvaller voldoende geldige wachtwoorden weet, het systeem verslagen is (al blijven dan in principe nog wel steeds salted hashes over, je hebt niet meteen plaintext passwords). Voldoende correcte wachtwoorden kan de aanvaller wellicht krijgen door elders gelekte passwords te proberen of door voor alle users '123456' te proberen. Dat is weer tegen te kaan door de threshold van benodigde correcte passwords hoog genoeg te configureren. Maar hogere waarden maken het herstart-probleem weer lastiger...
Creatief bedacht, maar ik vrees dus dat het niet snel breed omarmd zal worden.
Als er een probleem optreedt en je moet het systeem restarten. Dan moet je als beheerder eerst een aantal gebruikers zo ver zien te krijgen om te proberen in te loggen, voordat je zelf in kunt loggen. In een aantal gevallen wil je helemaal niet dat gebruikers al bij het systeem kunnen komen. Dat betekent dus dat je een extra set accounts moet maken om na het starten in te kunnen loggen.
This is only a problem if partial verification (discussed in the paper) is not used. In practice, this would not be an issue.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.