211service.com
Lai aizsargātu paroles no hakeriem, vienkārši sadaliet tās pa daļām
Jauns veids, kā vietnēm un citiem tiešsaistes pakalpojumiem uzglabāt paroles, varētu novērst tādus pārkāpumus kā tas, kura rezultātā 6,5 miljoni LinkedIn lietotāju bija publicējuši paroles tiešsaistē šā gada sākumā.
Šāda veida datu izkraušana notiek, kad uzbrucējs iegūst piekļuvi serverim, kurā tiek glabātas lietotāju paroles. Datoru drošības kompānijas RSA pētnieki ir izveidojuši sistēmu, kas sadala paroles divās daļās un katru pusi glabā dažādās vietās. Abas puses nekad nesanāk kopā, pat ja persona piesakās un viņa parole ir pārbaudīta. Tam vajadzētu apgrūtināt to nozagšanu, jo zaglim būtu jāielaužas abos serveros, kurus var aizsargāt dažādi.
Paroles glabāšana kļūst arvien problemātiskāka, jo pieaug pārkāpumu biežums, kā arī tāpēc, ka ir palielinājušās to sekas, saka Āri Juels , kurš vada RSA pētniecības laboratorijas Kembridžā, Masačūsetsā. Juels saka, ka kontroles zaudēšana pār vienu tiešsaistes kontu var sniegt uzbrucējiem informāciju, kas palīdz uzlauzt citus, un daudzi cilvēki tik un tā vienkārši izmanto paroles vairākos kontos.
Lai gan LinkedIn un daudzi citi uzņēmumi šifrē paroles, tāpēc to serveros nav precīzas lietotāja ievadītās virknes, uzbrucējiem ir virkne rīku, kas var mainīt šo šifrēšanu, saka Juels. Pat labākā prakse, ko LinkedIn neizmantoja, var tikt pārkāpta.
Mūsuprāt, ir labāk, ja paroles un citus akreditācijas datus neglabā vienuviet, saka Juels, tādējādi uzbrucējam ir grūtāk iegūt visu, kas viņam nepieciešams, lai atkārtoti izveidotu personas paroli.
RSA jaunā shēma darbojas, sadalot paroli daudzās mazās daļās un saglabājot pusi no šīm daļām — atlasītas pēc nejaušības principa — vienā vietā, bet pārējos — citā. RSA šo pieeju sauc par izplatīto akreditācijas datu aizsardzību. Ja tiek uzbrukts vienai vietai, paroles joprojām ir drošas, saka Juels. Maģiskais spēks ir sistēmas spēja pārbaudīt paroles, tās nesaliekot no jauna.
Kad persona piesakās sistēmā, izmantojot izplatīto akreditācijas datu aizsardzību, viņa sniegtā parole tiek sadalīta divās šifrētās datu virknēs. Katra virkne tiek nosūtīta uz vienu no diviem paroļu serveriem, kur tā tiek apvienota ar pusi no šajā serverī saglabātās paroles, lai izveidotu jaunu virkni. Pēc tam abi serveri salīdzina šīs divas jaunās virknes, lai noteiktu, vai parole ir pareiza. Iesaistītā matemātika nozīmē, ka nav iespējams noteikt paroli pēc nevienas no šīm virknēm vai abām kopā, tāpēc parole paliek nezināma pat tad, ja uzbrucējs var tvert virknes.
Juels saka, ka abus iesaistītos serverus var iestatīt ar dažādām operētājsistēmām un dažādās vietās, tāpēc paroļu zagšanai ir nepieciešams veiksmīgi uzstādīt divus atsevišķus uzbrukumus. Arī tiem būtu jānotiek īsā laikā, jo sistēma periodiski atsvaidzina, kura nejaušā puse paroles fragmentu tiek saglabāti katrā serverī.
Programmatūra tiks pārdota vēlāk šogad, saka Juels.
RSA jaunā pieeja ir metodes, kas pazīstama kā sliekšņa kriptogrāfija, versija, ko pētnieki jau sen ir pētījuši. Koncepcija nav jauna, taču šī būtu pirmā reize, kad tā tiek izplatīta plašai sabiedrībai, saka Dens Bonehs , Stenfordas universitātes profesors, kurš ir pētījis šādus dizainus. Sliekšņa kriptogrāfiju aizkulisēs izmanto uzņēmumi, kas pazīstami kā sertifikātu iestādes, kas izsniedz digitālās drošības sertifikātus, kas palīdz datoriem un tīmekļa pārlūkprogrammām zināt, kuriem serveriem uzticēties, piemēram, piesakoties bankas vietnē.
Viens veids, kā palielināt pieejas efektivitāti, būtu sadalīt paroles vai noslēpumus vairāk nekā tikai divos serveros, saka Bonehs. Juels saka, ka RSA plāno to darīt iespējamu nākotnē un izlaist programmatūru, kas ļauj izmantot noslēpumu sadalīšanas pieeju, lai aizsargātu šifrētus datus, piemēram, mākoņpakalpojumā saglabātajiem failiem.
Tomēr Bonehs atzīmē, ka ir arī citi veidi, kā personas noslēpumus var nozagt. Izmantojot paroļu pārvaldību, galvenās bažas bieži rada galalietotājs — ja lietotāja dators ir inficēts ar ļaunprātīgu programmatūru, tad ir maz, ko var darīt, lai to aizsargātu, neizmantojot fizisku marķieri, saka Bonehs, atsaucoties uz sistēmām, kurās cilvēkiem ir nēsājiet līdzi atslēgu piekariņu vai izmantojiet tālruņa lietotni, lai ievadītu pagaidu paroli katru reizi, kad viņi piesakās.
Šī pieeja, kas pazīstama kā divu faktoru autentifikācija, parasti ir nepieciešama tikai uzņēmumu vai finanšu kontiem, bet Google un Facebook tagad piedāvā to saviem tiešsaistes kontiem, jo notiek strauja tirdzniecība ar šādu kontu apdraudēšanu.