De wet van Moore, die stelt dat de rekenkracht van computers elke 18 maanden verdubbelt, zal niet het einde van wachtwoorden betekenen. Dat stelt de bekende wachtwoordonderzoeker Joseph Bonneau. "Computers worden exponentieel sneller, maar het menselijk brein is constant! Wachtwoordkrakers zullen toch zeker uiteindelijk het menselijke geheugen verslaan", is een stelling waar hij tegen ageert.
Regelmatig verschijnen in het nieuws berichten over nieuwe software of hardware voor het sneller kraken van wachtwoorden. Bonneau deed onderzoek naar de ontwikkelingen in het kraken van wachtwoorden van de afgelopen twintig jaar.
De snelheid is in die periode toegenomen met een factor 1.000 wat betreft het aantal raadpogingen per seconde. Daarmee loopt deze ontwikkeling bijna parallel aan de wet van Moore die een periode van achttien maanden tot twee jaar aanhoudt.
Hashing
Toch is de situatie niet verloren voor het wachtwoord. De hash-functies voor het 'versleutelen' van wachtwoorden, ontwikkelen zich ook. "Dit is een klassieke wapenwedloop en om bij te blijven moet het aantal iteraties in een wachtwoord-hash regelmatig worden vergroot", merkt Bonneau op.
Hij laat weten dat door het gebruik van geheugenfuncties het kraken van wachtwoorden ook lastiger te maken is. Dit komt omdat geheugensnelheden zich niet zo snel ontwikkelen en lastiger te parallelliseren zijn. Als voorbeeld geeft Bonneau de scrypt() key functie, die elke goed beveiligde applicatie zou moeten gebruiken volgens de onderzoeker.
Toekomst
Een nadeel van de huidige wapenwedloop is dat het niet goedkoper zal worden om wachtwoorden te hashen."Het hashen van een wachtwoord moet ook over twintig jaar van nu nog steeds traag en kostbaar zijn, anders heeft de veiligheid hier onder te leiden." De Wet van Moore zal echter nooit de kosten van het aanbieden van een authenticatiesysteem verminderen, omdat de veiligheid van deze kosten afhangt, stelt Bonneau.
Het probleem zit ergens anders, namelijk de verificatie van inloggegevens. Om echte veiligheid te bereiken zou het verifiëren van wachtwoorden mogelijk zelfs hele seconden moeten duren, gaat de onderzoeker verder. "Dit is helaas niet de ervaring van de afgelopen twintig jaar. MD5 is meer dan twintig jaar geleden gelanceerd en is nog steeds de meest gebruikte implementatie, ook al is de evaluatie ervan, van relatief kostbaar naar extreem goedkoop gegaan."
De Wet van Moore heeft volgens Bonneau inderdaad MD5 als een wachtwoord-hash gebroken. "Geen enkele serieuze applicatie zou het nog moeten gebruiken. Menselijk geheugen is geen groter probleem geworden dan het was. Het werkelijke probleem is dat we wachtwoordverificatie veel te goedkoop hebben laten worden."
Deze posting is gelocked. Reageren is niet meer mogelijk.