Ponoření do hashů: Funkce, algoritmy a aplikace

Co je derivativní správce hesel?

V dnešním digitálním světě je zabezpečení hesel důležitější než kdy jindy. Kyberzločinci neustále hledají nové způsoby, jak získat přístup k našim účtům a ukrást naše data, a proto je jedním z nejlepších způsobů ochrany používání silných a jedinečných hesel pro každý účet.

Zapamatování si silných a jedinečných hesel pro všechny účty však může být obtížné, a proto se stále častěji využívá správců hesel. Obecně platí, že v tradičním správci hesel jsou ověřovací údaje, tedy uživatelské jméno a heslo, sloučeny do jediné sady dat, která je zašifrována hlavním heslem. Pokud je hlavní heslo známo, odhalí všechna autentizační data chráněná tímto způsobem, a útok zaměřený na zjištění jediného kritického údaje může vést ke katastrofálnímu narušení bezpečnosti.

LISTHASH zavádí novou formu správy hesel, která zahrnuje více kontrolních bodů a zaručuje absolutní důvěrnost ověřovacích údajů uživatele. Využitím hashovacích funkcí poskytuje mechanismy potřebné pro vytváření silných a bezpečných hesel odvozených z údajů poskytnutých uživatelem při generování hesla. LISTHASH se proto označuje jako odvozený správce hesel, protože nová data jsou odvozena ze základních údajů chaotickým, ale deterministickým způsobem, který je dostatečně složitý na to, aby mohla být použita jako hesla.

Co je to odvozování hesel z hlavního semínka?

Odvozování hesel z hlavního semínka je metoda generování bezpečných a jedinečných hesel z tajného souboru dat, známého jako hlavní semínko. Hlavním semínkem může být fráze, kus textu nebo řada údajů, jejichž jedinou podmínkou je, aby byly dostatečně dlouhé a složité na to, aby je útočník těžko uhodl, a zároveň aby si je snadno zapamatoval uživatel s rozsáhlými znalostmi digitální bezpečnosti.

Jakmile máte hlavní klíčové heslo, můžete pomocí hashovací funkce vygenerovat jedinečná hesla pro každý účet. Jak jsme již uvedli, hashovací funkce je matematická funkce, která přijímá vstup (v tomto případě hlavní semínko) a převádí jej na výstup (heslo). Výstup hashovací funkce je pro stejný vstup vždy stejný, ale není možné funkci invertovat a získat tak původní vstup.

Jak fungují hashe při vytváření hesel?

Používání hashů k vytváření hesel je jednoduchý, ale účinný způsob ochrany ověřovacích údajů. Kombinací zapamatovatelné, ale statisticky složité fráze, klíče nebo datového prvku se zabezpečenou hashovací funkcí lze vytvořit jedinečná a těžko odhadnutelná hesla, která ochrání vaše data před kyberzločinci. Základní postup je následující:

1. Zvolte frázi, klíč nebo datový prvek, který představuje složitou a bezpečnou informaci, ale je snadno zapamatovatelný a nelze jej snadno spojit s uživatelem-to bude seed. Například úryvek z knihy, konkrétní obrázek nebo datový prvek, který je viditelný pouhým okem, ale pro útočníka neurčitelný.

2. Pomocí hashovací funkce, například SHA-256, převedete seed na jedinečnou hashovací hodnotu, která slouží jako základní meziprodukt pro načtení autentizačních dat.

3. Přidáním soli (solení) pro zvýšení bezpečnosti získáme dodatečnou ochranu. Solení v tomto případě představuje tajnou hodnotu, například hlavní heslo, která se před druhým použitím hashovací funkce zkombinuje se seedem, čímž se pro útočníka ještě více ztíží prolomení výsledného hesla.

4. Výsledek aplikace konečné hashovací funkce mapujte na řetězec alfanumerických znaků ze seedu, který lze použít jako heslo.

Existují nějaká rizika při použití odvozování hesla z hlavního semínka?

Hlavní riziko spočívá v tom, že pokud hlavní seed ztratíte nebo si jej nepamatujete, případně zapomenete údaje použité k solení, nebude možné získat přístup k vašim účtům. Proto je důležité zvolit takový hlavní seed, který zná pouze uživatel, ale který útočník nemůže odvodit.

Kontrolní body LISTHASH

Aby bylo dosaženo absolutního soukromí a generování silných a bezpečných hesel, zavádí LISTHASH ve svém procesu odvozování tři kontrolní body:

1. Semínko: Zpočátku se používá semínko, které poskytuje nejen jedinečné a bezpečné údaje, ale také definuje sadu znaků, kterou správce využívá při generování hesla. LISTHASH vyžaduje, aby semínko obsahovalo alespoň 62 různých znaků, aby bylo aplikací akceptováno.

2. Seznam účtů: Každý účet registrovaný v LISTHASH má jedinečný identifikátor a je reprezentován údaji o službě, uživateli a délkou hesla, které má být vygenerováno. Tato data jsou ve výchozím nastavení šifrována, aby je bylo možné exportovat mimo zařízení, ve kterém jsou uložena.

3. Tajné kódy: Nakonec uživatel pro generování hesla zadá tajné kódy, které si může zapamatovat pouze on sám. Úkolem těchto kódů je přidat do konečného generování hesla „sůl“ a tím zvýšit nejistotu výsledku hašovacích funkcí.

Důležité: Nedostatek specifických informací v některém z výše uvedených kontrolních bodů znemožní přístup ke správným ověřovacím údajům. Proto pouze kompletní znalost specifických údajů každého kontrolního bodu umožní obnovení hesla. Tento postup zajišťuje, že porušení až dvou kontrolních bodů je pro útočníka při pokusu o získání autentizačních údajů uživatele nepoužitelné.

Kromě toho konvenční správci hesel poskytují útočníkovi jasný signál, když se mu podaří prolomit hlavní heslo, protože pouze dešifrování generuje čitelný výsledek, který umožňuje přístup k autentizačním údajům. Naproti tomu kontrolní data LISTHASH vždy vytvářejí čitelné, ale neplatné autentizační hodnoty, neboť pouze přesná a správná data v každém kontrolním bodě odpovídají platným ověřovacím údajům. Útok hrubou silou je za těchto podmínek ještě neúčinnější, protože vyžaduje testování všech možných kombinací přímo na službě spojené s účtem, a tento typ útoku lze rychle zmírnit překročením povolených chyb služby.

Díky službě LISTHASH se uživatel nemusí vzdávat svého soukromí ani svěřovat bezpečnost svých dat cloudové službě, kterou lze hacknout.