Nieuws
image

Nieuw systeem voor beveiligen wachtwoorden ontwikkeld

woensdag 30 juli 2014, 14:46 door Redactie, 5 reacties

Wetenschappers hebben een nieuw systeem ontwikkeld voor het beveiligen van wachtwoorden, waardoor het zo goed als onmogelijk zou moeten worden om wachtwoorden uit een gestolen database te achterhalen. Dit zou de gevolgen van een gestolen database moeten beperken of zelfs elimineren.

Om wachtwoorden te beschermen gebruiken de meeste databases een hash. Dit is een encryptietechniek die één kant op werkt. Van het wachtwoord van de gebruiker wordt een hash gemaakt, die vervolgens in de database wordt opgeslagen. Een aanvaller die de database steelt kan vervolgens proberen om de hashes te kraken en zo de bijbehorende wachtwoorden te vinden.

Als extra beveiligingsmaatregel kunnen de hashes worden gesalt. Hierbij wordt er willekeurige data aan het wachtwoord van de gebruiker toegevoegd, om hier vervolgens een hash van te maken. Een salt zorgt ervoor dat het langer duurt om de hashes te kraken, maar maakt het niet onmogelijk. Daarnaast kan een aanvaller die toegang tot het systeem heeft ook de salt-waarde achterhalen.

PolyPasswordHasher

Volgens wetenschappers van de New York University Polytechnic School of Engineering is dit geen ideaal systeem en ze hebben daarom een andere oplossing bedacht, genaamd PolyPasswordHasher. Deze methode gebruikt een compleet andere aanpak, waarbij de hashes op een systeem zo worden opgeslagen dat ze alleen kunnen worden gecontroleerd als er een bepaald aantal wachtwoorden bekend zijn. Zonder deze juiste hoeveelheid wachtwoorden is het onmogelijk om een willekeurige hashwaarde te valideren.

13 miljard jaar

Als voorbeeld geven de wetenschappers dat het kraken van drie gehashte en gesalte wachtwoorden op een moderne laptop, die een miljard hashes per seconde kan controleren, ongeveer een uur zou duren. Met PolyPasswordHasher zou dit meer dan 13 miljard jaar zijn, de geschatte leeftijd van het heelal. De wetenschappers stellen dat PolyPasswordHasher de eerste beveiligingsoplossing is die deze aanpak kiest en het eerste softwarematige, single-serversysteem dat de zoekruimte voor een aanvaller exponentieel laat toenemen.

Het systeem kan volgens de wetenschappers dan ook de impact van een gehackte database verminderen of zelfs elimineren. Daarnaast zou PolyPasswordHasher eenvoudig aan bestaande systemen zijn toe te voegen. Op dit moment wordt de beveiligingsoplossing als onderdeel van de Password Hashing Competitie getest.

Image

Reacties (5)
30-07-2014, 15:15 door Anoniem
Dus je zou al de tijd in de wereld nodig moeten hebben om het ww te kraken ? :p
30-07-2014, 16:20 door Anoniem
When a system using a PolyPasswordHasher store restarts, no authentication can be performed. First an initial threshold of passwords must be provided before any can be checked.

Als er een probleem optreedt en je moet het systeem restarten. Dan moet je als beheerder eerst een aantal gebruikers zo ver zien te krijgen om te proberen in te loggen, voordat je zelf in kunt loggen. In een aantal gevallen wil je helemaal niet dat gebruikers al bij het systeem kunnen komen. Dat betekent dus dat je een extra set accounts moet maken om na het starten in te kunnen loggen.

Peter
31-07-2014, 01:09 door Anoniem
Als er een probleem optreedt en je moet het systeem restarten. Dan moet je als beheerder eerst een aantal gebruikers zo ver zien te krijgen om te proberen in te loggen, voordat je zelf in kunt loggen.

Daar hebben de bedenkers zelf ook aan gedacht (zie het gelinkte artikel). Ze stellen voor om dan zolang er nog niet voldoende geldige wachtwoorden bekend zijn een veel zwakkere authenticatie te doen. Afhankelijk van de context, kan dat het systeem behoorlijk verzwakken, vooral als een aanvaller kan weten wanneer er herstart is of erger: een herstart kan forceren.

Verder is een probleem dat zo gauw een aanvaller voldoende geldige wachtwoorden weet, het systeem verslagen is (al blijven dan in principe nog wel steeds salted hashes over, je hebt niet meteen plaintext passwords). Voldoende correcte wachtwoorden kan de aanvaller wellicht krijgen door elders gelekte passwords te proberen of door voor alle users '123456' te proberen. Dat is weer tegen te kaan door de threshold van benodigde correcte passwords hoog genoeg te configureren. Maar hogere waarden maken het herstart-probleem weer lastiger...

Creatief bedacht, maar ik vrees dus dat het niet snel breed omarmd zal worden.
31-07-2014, 01:36 door Anoniem
Door Anoniem:
When a system using a PolyPasswordHasher store restarts, no authentication can be performed. First an initial threshold of passwords must be provided before any can be checked.

Als er een probleem optreedt en je moet het systeem restarten. Dan moet je als beheerder eerst een aantal gebruikers zo ver zien te krijgen om te proberen in te loggen, voordat je zelf in kunt loggen. In een aantal gevallen wil je helemaal niet dat gebruikers al bij het systeem kunnen komen. Dat betekent dus dat je een extra set accounts moet maken om na het starten in te kunnen loggen.


This is only a problem if partial verification (discussed in the paper) is not used. In practice, this would not be an issue.
31-07-2014, 12:41 door Anoniem
SQRL !
https://www.grc.com/sqrl/sqrl.htm
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure