Команда исследователей разработала систему регистрации, которая усложняет работу хакеров, в получении используемых паролей из баз данных. Система была представлена на Ежегодной Конференции по Приложениям компьютерной безопасности.
Система имеет название - ErsatzPasswords, и нацелена на отсечение хакеров, которые используют методы «взлома» паролей, сообщает один из разработчиков Мохаммед Х. Алмешека.
Хакеры «все еще будут в состоянии взломать необходимый файл, однако пароли, которые они получат, будут ложными», сказал Алмешека.
Как работает ErsatzPasswords
Пароли, как правило, зашифрованы и организовано хранятся. В этой системе пароли зашифрованы, используя алгоритм, и при возможной атаке они перемешиваются.
В таком виде их сохранность значительно превышает традиционную систему хранения паролей. Выбрать пароль из кучи комбинаций конечно же можно, но это очень трудоемко. Чтобы выбрать пароли хакеры используют прямые методы «в лоб», которые включают списки создания слов, которые могли быть возможными паролями и вычленяют их из мешанины. Это - отнимающая много времени и вычислительных ресурсов работа.
Чтобы сократить то время, хакеры используют программы, такие как John the Ripper, которые могут привлечь большие списки паролей из различных баз данных, которые уже были вычислены. Такие списки ежедневно становятся все более и более объемными, но так как многие пользователи не выбирают себе сложные пароли, это ускоряет работу хакеров.
ErsatzPasswords добавляет новый шаг. Прежде чем пароль будет зашифрован, он проходит через зависимую от сторонних аппаратных средств (модуля) программу. Такой шаг добавляет особенность к паролю, которую невозможно вернуть без открытого доступа к модулю, сказал Алмешека.
ErsatzPasswords осуществляет небольшую доработку пароля, но делает это так, чтобы пароль прошедший шифровку в модуле был подобием настоящего пароля. Результат состоит в том, что, если хакер начинает получать предполагаемые пароли из общего списка, не будут работать. Хакер не знает об обязательной процедуре прохождения пароля через аппаратный модуль, к которому у него нет доступа.
Сколько стоит ErsatzPasswords
Алмешека сказал, что исследователи использовали довольно дешевый модуль безопасности аппаратных средств YubiHSM от Yubico, стоимость которого приблизительно 500$. Для большего количества пользователей, более продвинутый тип модуля безопасности аппаратных средств может стоить и 10000$.
Самостоятельное создание ErsatzPasswords на сервера довольно несложное, и код доступен на GitHub. Это свободно распространяющееся программное обеспечение и издано в соответствии с общедоступной лицензией Apache.