211service.com
Um Passwörter vor Hackern zu schützen, zerlegen Sie sie einfach in Bits
Eine neue Möglichkeit für Websites und andere Online-Dienste, Passwörter zu speichern, könnte Verstöße wie denjenigen verhindern, der dazu führte, dass Anfang des Jahres 6,5 Millionen LinkedIn-Benutzer ihre Passwörter online veröffentlichten.
Diese Art von Datendump tritt auf, wenn ein Angreifer Zugriff auf den Server erhält, auf dem Benutzerkennwörter gespeichert sind. Forscher des Computersicherheitsunternehmens RSA haben ein System entwickelt, das Passwörter in zwei Teile aufteilt und jede Hälfte an verschiedenen Orten speichert. Die beiden Hälften kommen nie zusammen, selbst wenn sich eine Person einloggt und ihr Passwort verifizieren lässt. Das sollte es jemandem erschweren, sie zu stehlen, da ein Dieb in beide Server einbrechen müsste, die auf unterschiedliche Weise geschützt werden können.
Die Speicherung von Passwörtern wird aufgrund der zunehmenden Häufigkeit von Sicherheitsverletzungen, aber auch aufgrund der Zunahme der Folgen immer problematischer, sagt Ari Juels , der die Forschungslabors von RSA in Cambridge, Massachusetts, leitet. Juels sagt, dass der Verlust der Kontrolle über ein Online-Konto Angreifern Informationen liefern kann, um in andere einzudringen, und viele Leute verwenden sowieso einfach Passwörter für mehrere Konten wieder.
Obwohl LinkedIn und viele andere Unternehmen Passwörter verschlüsseln – ihre Server enthalten also nicht die genaue Zeichenfolge, die ein Benutzer eingibt – verfügen Angreifer über eine Reihe von Tools, die diese Verschlüsselung rückgängig machen können, sagt Juels. Selbst die besten Praktiken, die LinkedIn nicht verwendet hat, können gebrochen werden.
Wir sind der Meinung, dass es besser ist, wenn Passwörter und andere Zugangsdaten nicht an einem Ort gespeichert werden, sagt Juels, was es für einen Angreifer schwieriger macht, an alles zu gelangen, was er braucht, um das Passwort einer Person neu zu erstellen.
Das neue Schema von RSA funktioniert, indem es ein Passwort in viele kleine Teile zerlegt und die Hälfte dieser Teile – zufällig ausgewählt – an einem Ort und den Rest an einem anderen speichert. RSA nennt den Ansatz verteilten Anmeldeinformationsschutz. Wird ein Standort angegriffen, sind die Passwörter trotzdem sicher, sagt Juels. Wo die Magie ins Spiel kommt, ist die Fähigkeit des Systems, Passwörter zu überprüfen, ohne sie neu zusammenzusetzen.
Wenn sich eine Person mit verteiltem Anmeldeinformationsschutz bei einem System anmeldet, wird das von ihr bereitgestellte Passwort in zwei verschlüsselte Datenstrings aufgeteilt. Jeder String wird dann an einen der beiden Passwortserver gesendet, wo er mit der Hälfte des auf diesem Server gespeicherten Passworts zu einem neuen String kombiniert wird. Die beiden Server vergleichen dann diese beiden neuen Zeichenfolgen, um festzustellen, ob das Kennwort richtig ist oder nicht. Die damit verbundene Mathematik führt dazu, dass es unmöglich ist, das Kennwort aus einer dieser Zeichenfolgen oder aus beiden kombiniert zu ermitteln – das Kennwort bleibt also unbekannt, selbst wenn ein Angreifer die Zeichenfolgen abfangen kann.
Die beiden beteiligten Server können mit unterschiedlichen Betriebssystemen und an unterschiedlichen Standorten eingerichtet werden, sagt Juels, so dass der Diebstahl von Passwörtern die erfolgreiche Durchführung zweier separater Angriffe erfordert. Auch diese müssten in kurzer Zeit passieren, da das System periodisch aktualisiert, welche zufällige Hälfte der Schnipsel eines Passworts auf jedem Server gespeichert ist.
Die Software soll noch in diesem Jahr auf den Markt kommen, sagt Juels.
Der neue Ansatz von RSA ist eine Version einer als Schwellenwertkryptographie bekannten Technik, die seit langem von Forschern erforscht wird. Das Konzept ist nicht neu, aber dies wäre das erste Mal, dass es der breiten Öffentlichkeit zugänglich gemacht wird, sagt Dan Boneh , ein Professor an der Stanford University, der solche Designs erforscht hat. Die Schwellenwertkryptographie wird hinter den Kulissen von den als Zertifizierungsstellen bezeichneten Unternehmen verwendet, die digitale Sicherheitszertifikate ausstellen, die Computern und Webbrowsern helfen, zu erkennen, welchen Servern sie vertrauen müssen, beispielsweise bei der Anmeldung bei einer Banking-Website.
Eine Möglichkeit, die Effektivität des Ansatzes zu steigern, bestünde darin, Passwörter oder Geheimnisse auf mehr als nur zwei Server aufzuteilen, sagt Boneh. Laut Juels plant RSA, dies in Zukunft zu ermöglichen und eine Software herauszubringen, die es ermöglicht, verschlüsselte Daten, beispielsweise für Dateien, die in einem Cloud-Dienst gespeichert sind, mithilfe des Secret-Splitting-Ansatzes zu schützen.
Boneh merkt jedoch an, dass es andere Möglichkeiten gibt, die Geheimnisse einer Person zu stehlen. Bei der Passwortverwaltung ist oft der Endbenutzer das Hauptanliegen: Wenn der Computer des Benutzers mit Malware infiziert ist, kann er ohne einen physischen Token nur wenig geschützt werden, sagt Boneh und bezieht sich auf Systeme, bei denen dies erforderlich ist tragen Sie einen Schlüsselanhänger oder verwenden Sie eine Telefon-App, um bei jeder Anmeldung ein temporäres Passwort anzugeben.
Dieser Ansatz, bekannt als Zwei-Faktor-Authentifizierung, ist normalerweise nur für Firmen- oder Finanzkonten erforderlich, aber Google und Facebook bieten es jetzt aufgrund des regen Handels mit der Kompromittierung solcher Konten für ihre Online-Konten an.