Bliższe spojrzenie na hashe: funkcje, algorytmy i zastosowania
Czym jest pochodny menedżer haseł?
W dzisiejszym cyfrowym świecie bezpieczeństwo haseł jest ważniejsze niż kiedykolwiek. Ponieważ cyberprzestępcy nieustannie szukają nowych sposobów na uzyskanie dostępu do naszych kont i kradzież naszych danych, jednym z najlepszych sposobów ochrony jest używanie silnych, unikalnych haseł dla każdego konta.
Jednak zapamiętanie silnych i unikalnych haseł dla wszystkich naszych kont może być trudne. Dlatego też korzystanie z menedżerów haseł jest coraz bardziej popularnym rozwiązaniem. Ogólnie rzecz biorąc, dane uwierzytelniające w tradycyjnym menedżerze haseł łączą zarówno użytkownika, jak i hasło w jeden zestaw danych, który jest szyfrowany hasłem głównym. Znajomość hasła głównego ujawnia całość danych uwierzytelniających chronionych przez tradycyjnego menedżera, a zatem atak mający na celu odkrycie pojedynczego krytycznego elementu danych może spowodować katastrofalne naruszenie bezpieczeństwa.
LISTHASH implementuje nową formę zarządzania hasłami, która obejmuje wiele punktów kontrolnych i gwarantuje absolutną prywatność danych uwierzytelniających użytkownika. Wykorzystując funkcje skrótu, zapewnia niezbędne mechanizmy do tworzenia silnych i bezpiecznych haseł na podstawie danych dostarczonych przez użytkownika podczas procesu generowania hasła. Dlatego nazywamy LISTHASH menedżerem haseł pochodnych, ponieważ wyprowadza nowe dane w chaotyczny, ale deterministyczny sposób z danych bazowych, które są wystarczająco złożone, aby można je było wykorzystać jako hasła.
Czym jest wyprowadzanie haseł z master seed?
Wyprowadzanie haseł z master seed to metoda generowania bezpiecznych i unikalnych haseł na podstawie tajnego fragmentu danych, zwanego master seed. Master seed może być frazą, fragmentem tekstu lub serią danych, których jedynym warunkiem jest to, że są wystarczająco długie i złożone, aby były trudne do odgadnięcia przez atakującego, a jednocześnie łatwe do zapamiętania przez użytkownika z rozległą wiedzą na temat bezpieczeństwa cyfrowego.
Gdy masz już główny seed, możesz użyć funkcji skrótu do wygenerowania unikalnych haseł dla każdego konta. Jak już wspomnieliśmy, funkcja skrótu to funkcja matematyczna, która pobiera dane wejściowe (w tym przypadku główny seed) i konwertuje je na dane wyjściowe (w tym przypadku hasło). Wynik funkcji hashującej jest zawsze taki sam dla tych samych danych wejściowych, a odwrócenie jej w celu uzyskania oryginalnych danych wejściowych pozostaje niemożliwe.
Jak działają skróty do tworzenia haseł?
Używanie hashy do tworzenia haseł to prosty, ale skuteczny sposób ochrony danych uwierzytelniających. Łącząc frazę, klucz lub element danych, który reprezentuje złożone i bezpieczne informacje, ale jednocześnie jest łatwy do zapamiętania i nie może być jednoznacznie powiązany z użytkownikiem, z bezpieczną funkcją skrótu, można generować unikalne i trudne do odgadnięcia hasła, które skutecznie chronią dane przed cyberprzestępcami. Podstawowy proces wygląda następująco:
1. Wybierz frazę, klucz lub fragment danych, który reprezentuje złożone i bezpieczne informacje, ale jest łatwy do zapamiętania i niełatwy do bezpośredniego powiązania z użytkownikiem-na przykład fragment książki, konkretny obraz lub element danych widoczny gołym okiem, ale niezidentyfikowany przez atakującego.
2. Użyj funkcji skrótu, takiej jak SHA-256, aby przekonwertować ziarno na unikalną wartość skrótu, która służy jako podstawowy, pośredni element do odzyskiwania danych uwierzytelniających.
3. Dodanie soli lub „solenie” w celu zwiększenia bezpieczeństwa. W tym przypadku sól jest tajną wartością, na przykład hasłem głównym, która jest łączona z ziarnem przed zastosowaniem funkcji skrótu po raz drugi, co jeszcze bardziej utrudnia atakującemu złamanie ostatecznie wygenerowanego hasła.
4. Mapowanie wyniku zastosowania ostatecznej funkcji skrótu na ciąg znaków alfanumerycznych z materiału siewnego, który może być użyty jako hasło.
Czy istnieją jakieś zagrożenia związane z korzystaniem z wyprowadzania hasła z master seed?
Głównym ryzykiem jest to, że jeśli zgubisz master seed, nie zapamiętasz go lub zapomnisz danych użytych do zasolenia, dostęp do Twoich kont stanie się niemożliwy. Dlatego ważne jest, aby wybrać master seed, który tylko użytkownik może łatwo zapamiętać, ale który jest niemożliwy do ustalenia przez atakującego.
Punkty kontrolne LISTHASH
Aby osiągnąć absolutną poufność oraz generowanie silnych i bezpiecznych haseł, LISTHASH ustanawia trzy punkty kontrolne w swoim procesie wyprowadzania:
1. Seed: Początkowo używany jest seed, który nie tylko zapewnia unikalne i bezpieczne dane, ale także definiuje zestaw znaków używanych przez menedżera do generowania haseł. LISTHASH wymaga, aby seed zawierał co najmniej 62 różne znaki, aby został zaakceptowany przez aplikację.
2. Lista kont: Każde konto zarejestrowane w LISTHASH ma unikalny identyfikator i jest reprezentowane przez dane usługi, użytkownika oraz długość hasła do wygenerowania. Dane te są domyślnie szyfrowane, co umożliwia ich eksportowanie poza urządzenie, na którym są przechowywane.
3. Tajne kody: Na koniec użytkownik wprowadza tajne kody, które tylko on może zapamiętać. Kody te dodają „sól” do ostatecznego generowania hasła, zwiększając niepewność wyniku funkcji skrótu.
Ważne: Brak określonych informacji w którymkolwiek z powyższych punktów kontrolnych uniemożliwia dostęp do prawidłowych danych uwierzytelniających. Dlatego tylko kompleksowa znajomość konkretnych danych w każdym punkcie kontrolnym pozwala na odzyskanie hasła. Proces ten gwarantuje, że naruszenie maksymalnie dwóch punktów kontrolnych jest bezużyteczne dla atakującego w próbie uzyskania danych uwierzytelniających użytkownika.
Ponadto konwencjonalne menedżery haseł wyraźnie sygnalizują atakującemu, że udało mu się złamać hasło główne, ponieważ odszyfrowanie generuje czytelny wynik, umożliwiający dostęp do danych uwierzytelniających. Z kolei dane kontrolne LISTHASH zawsze generują czytelne, ale nieprawidłowe wartości uwierzytelniające, gdyż tylko dokładne i poprawne dane w każdym punkcie kontrolnym odpowiadają prawidłowym danym uwierzytelniającym. Atak brute force w tych warunkach jest jeszcze bardziej nieefektywny, ponieważ wymaga przetestowania wszystkich możliwych kombinacji bezpośrednio w usłudze powiązanej z kontem-a ten rodzaj ataku można szybko złagodzić poprzez przekroczenie dopuszczalnych błędów usługi.
Dzięki LISTHASH użytkownik nie jest zmuszony do rezygnacji ze swojej prywatności ani do powierzenia bezpieczeństwa swoich danych usłudze w chmurze, która może być zhakowana.