Ponorenie sa do hashov: Funkcie, algoritmy a aplikácie
Čo je to derivatívny správca hesiel?
V dnešnom digitálnom svete je bezpečnosť hesiel dôležitejšia ako kedykoľvek predtým. Keďže kyberzločinci neustále hľadajú nové spôsoby, ako získať prístup k našim účtom a ukradnúť naše údaje, jedným z najlepších spôsobov ochrany je používať silné a jedinečné heslá pre každý účet.
Môže však byť ťažké si zapamätať silné a jedinečné heslá pre všetky naše účty. Preto je používanie správcov hesiel čoraz populárnejším riešením. Vo všeobecnosti autentifikačné údaje v tradičnom správcovi hesiel obsahujú používateľa aj heslo uložené v jednom súbore údajov, ktorý je zašifrovaný hlavným heslom. Znalosť hlavného hesla odhaľuje všetky autentifikačné údaje, a preto útok zameraný na určenie jediného kritického údaja môže viesť ku katastrofálnemu narušeniu bezpečnosti.
LISTHASH implementuje novú formu správy hesiel, ktorá zahŕňa viacero kontrolných bodov a umožňuje absolútne súkromie autentifikačných údajov používateľa. Pomocou hashovacích funkcií poskytuje mechanizmy potrebné na vytvorenie silných a bezpečných hesiel odvodených z údajov poskytnutých používateľom v procese generovania hesla. LISTHASH preto nazývame derivatívnym správcom hesiel, pretože zo základných údajov odvodzuje nové údaje chaotickým, ale deterministickým spôsobom, ktorý je dostatočne zložitý na to, aby sa dal použiť ako heslo.
Čo je to odvodzovanie hesiel z hlavného semienka?
Odvodenie hesla z hlavného semienka je metóda na generovanie bezpečných a jedinečných hesiel z tajného údaja, známeho ako hlavné semienko. Hlavným semienkom môže byť fráza, časť textu alebo séria údajov, pričom jedinou podmienkou je, aby boli dostatočne dlhé a zložité na to, aby ich útočník ťažko uhádol, a zároveň aby si ich používateľ s dôkladnými znalosťami digitálnej bezpečnosti ľahko zapamätal.
Po vytvorení hlavného semienka môžete pomocou hashovacej funkcie vygenerovať jedinečné heslá pre každé konto. Ako sme už uviedli, hashovacia funkcia je matematická funkcia, ktorá prijíma vstup (v tomto prípade hlavné semienko) a prevádza ho na výstup (heslo). Výstup hashovacej funkcie je vždy rovnaký pre ten istý vstup, pričom nie je možné funkciu invertovať a z výstupu rekonštruovať pôvodný vstup.
Ako funguje hash na vytváranie hesiel?
Používanie hashov na vytváranie hesiel je jednoduchý, no účinný spôsob ochrany autentifikačných údajov. Kombináciou zapamätateľnej, ale štatisticky zložitej frázy, kľúča alebo súboru údajov so zabezpečenou hashovacou funkciou je možné vytvoriť jedinečné a ťažko uhádnuteľné heslá, ktoré ochránia vaše údaje pred kyberzločincami. Postup je nasledovný:
1. Výber hlavného semienka: Vyberte si frázu, kľúč alebo súbor údajov, ktoré predstavujú zložitú a bezpečnú informáciu, ale sú zároveň ľahko zapamätateľné a nemožno ich jednoznačne spojiť s používateľom. Napríklad môže ísť o úryvok z knihy, špecifický obrázok alebo kúsok údajov viditeľný voľným okom, ale neurčitý pre útočníka.
2. Použite hashovaciu funkciu (napríklad SHA-256) na premenu semienka na jedinečnú hashovaciu hodnotu, ktorá poslúži ako základný medziprodukt pre autentifikačné údaje.
3. Pre zvýšenie bezpečnosti pridajte soľ – t. j. skombinujte semienko s tajnou hodnotou (napríklad hlavným heslom) pred druhým použitím hashovacej funkcie. Tento krok výrazne sťažuje útočníkovi prelomenie výsledného hesla.
4. Mapovanie výsledku: Výsledok finálnej hashovacej funkcie sa prevedie na reťazec alfanumerických znakov, ktorý je možné použiť ako heslo.
Aké sú riziká odvodzovania hesiel z hlavného semienka?
Hlavné riziko spočíva v tom, že ak stratíte svoje hlavné semienko alebo zabudnete údaje použité na solenie, stratíte prístup k svojim účtom. Preto je mimoriadne dôležité zvoliť semienko, ktoré si dokážete ľahko zapamätať, ale ktoré je zároveň pre útočníka neuhádnuteľné.
Kontrolné body LISTHASH
Na dosiahnutie absolútneho súkromia a generovania silných a bezpečných hesiel zavádza LISTHASH vo svojom procese odvodzovania tri kontrolné body:
1. Semienko: Na začiatku sa používa semienko, ktoré nielen poskytuje jedinečné a bezpečné údaje, ale aj definuje znakovú sadu, ktorá sa použije na generovanie hesiel. LISTHASH vyžaduje, aby semienko obsahovalo aspoň 62 rôznych znakov, aby ho aplikácia akceptovala.
2. Zoznam účtov: Každý účet v systéme LISTHASH má jedinečný identifikátor a je reprezentovaný údajmi o službe, používateľovi a dĺžkou hesla, ktoré sa má vygenerovať. Tieto údaje sú štandardne zašifrované, aby bolo možné ich exportovať mimo zariadenia, ktoré ich uchováva.
3. Tajné kódy: Používateľ zadá tajné kódy, ktoré si môže zapamätať len on. Tieto kódy pridávajú do generovania hesla „soľ“, čím zvyšujú neistotu výsledku hashovacích funkcií.
Dôležité: Ak v niektorom z uvedených kontrolných bodov chýbajú konkrétne informácie, nie je možné získať prístup k správnym autentifikačným údajom. Len kompletná znalosť špecifík v každom bode umožní obnoviť heslo. Tento postup zabezpečuje, že aj pri narušení až dvoch kontrolných bodov zostávajú autentifikačné údaje pre útočníka nepoužiteľné.
Okrem toho, zatiaľ čo konvenční správcovia hesiel poskytujú útočníkovi jasný signál, keď dôjde k narušeniu hlavného hesla – pretože dešifrovanie generuje čitateľný výsledok, ktorý umožňuje prístup k autentifikačným údajom – údaje z kontrolných bodov LISTHASH vždy vytvárajú čitateľné, ale neplatné autentifikačné hodnoty. Iba presné a správne informácie vo všetkých bodoch vedú k platným údajom, čo robí útok hrubou silou ešte neefektívnejším, keďže vyžaduje testovanie všetkých možných kombinácií priamo na službe prepojenej s účtom a tento typ útoku je možné rýchlo zmierniť prekročením prípustných chýb.
Vďaka službe LISTHASH sa používateľ nemusí vzdať svojho súkromia ani zveriť bezpečnosť svojich údajov cloudovej službe, ktorá môže byť náchylná na hacknutie.