Dzielenie haseł sposobem na hakerów
Hasła dzielone na dwa zbiory plików i losowo rozdysponowane pomiędzy dwa serwery, umieszczone w różnych miejscach, będą lepiej chronić serwery przed włamaniem.
10.10.2012 | aktual.: 10.10.2012 13:10
Informatycy pracujący dla firmy RSA, stworzyli rozwiązanie dzielące hasło na dwie części i składujące każdą z nich w innej lokalizacji. Obie części nigdy nie występują razem; nie bywają też łączone na stałe, nawet wtedy, kiedy właściciel hasła loguje się do systemu bądź komputera i jego hasło jest weryfikowane. Utrudnia to bardzo kradzieże haseł, ponieważ oba serwery, na których przechowane są ich części znajdują się gdzie indziej i są w inny sposób zabezpieczane.
Jak powiedział Technology Review dr Ari Juels, kierujący laboratorium RSA w Cambridge w amerykańskim stanie Massachusetts, przechowywanie haseł staje się coraz bardziej problematyczne, ponieważ rośnie liczba ich kradzieży. Hasła dostępowe zwykle zabezpiecza się szyfrowaniem, ale algorytmy najczęściej używanych szyfrów są znane, zaś najnowocześniejsze z nich są jeszcze rzadko stosowane. Tak dzieje się np. ze znanym społecznościowym serwisem LinkedIn, gdzie hasła są szyfrowane, ale hakerom udało się skraść i odszyfrować 6,5 mln z nich.
Juels dodaje, że utrata kontroli nad kontem użytkownika pozwala atakującym na złamanie zabezpieczeń dostępu do innych kont; w dodatku wiele osób stosuje to samo hasło do wielu różnych usług, choć jest to poważne naruszenie zasad bezpieczeństwa. Badacz zauważa, iż najlepiej, aby w tej sytuacji nie przechowywać haseł i innych danych koniecznych przy logowaniu, w jednym miejscu.
Rozwiązanie zaproponowane przez RSA polega na podziale hasła na małe pliki i po ich losowym wymieszaniu przechowywanie połowy z nich na jednym serwerze, zaś drugiej połowy - na innym. W ten sposób nawet przypadku zaatakowania jednego serwera, przechowującego takie pliki, hasła są nadal bezpieczne.
Kiedy użytkownik loguje się do sieci, jego hasło dzieli się na dwa zaszyfrowane ciągi danych. Każdy ciąg trafia do obu serwerów przechowujących hasła. Tam, przy pomocy składowanych na nich plików haseł tworzone są dwa nowe ciągi danych. Oba są porównywane z przesłanymi na serwery ciągami danych, powstałymi z hasła wpisanego przez użytkownika przy logowaniu i jeśli program stwierdzi zgodność, wówczas hasło jest akceptowane. Algorytm użyty do tworzenia ciągów danych zapewnia, iż niemożliwe jest odtworzenie hasła z każdego z ciągów danych - jeśli więc haker przechwyci jeden z nich lub oba, nadal nie pozwoli to na odtworzenia prawidłowego hasła.
Oba serwery dla bezpieczeństwa posiadają różne aplikacje do przechowywania danych, są inaczej zabezpieczone a nawet działają na różnych systemach operacyjnych (np. para Windows Server - Linux). Oznacza to, że aby próbować uzyskać hasło trzeba dokonać dwóch różnych ataków, w bardzo krótkim odstępie czasu, bowiem oba systemy są cyklicznie odświeżane, w trakcie czego wymieniają między sobą połowę plików przechowywanych na nich haseł. Oprogramowanie umożliwiające tego typu przechowywanie haseł znajdzie się na rynku jeszcze w obecnym roku.