Dyk ned i hashes: Funktioner, algoritmer og anvendelser
Hvad er en afledt adgangskodeadministrator?
I dagens digitale verden er adgangskode-sikkerhed vigtigere end nogensinde. Fordi cyberkriminelle konstant leder efter nye måder at få adgang til vores konti og stjæle vores data på, er en af de bedste måder at beskytte sig selv på at bruge stærke, unikke adgangskoder til hver konto.
Men det kan være svært at huske stærke og unikke adgangskoder til alle vores konti. Derfor er brugen af adgangskodeadministratorer en stadig mere populær løsning. Generelt indeholder autentificeringsdataene i en traditionel adgangskodeadministrator både brugeren og adgangskoden i et enkelt datasæt, der er krypteret med en hovedadgangskode. Kendskab til hovedadgangskoden afslører alle de autentificeringsdata, der er beskyttet af den traditionelle manager, og derfor kan et angreb, der har til formål at bestemme et enkelt kritisk stykke data, resultere i et katastrofalt sikkerhedsbrud.
LISTHASH implementerer en ny form for adgangskodestyring, der omfatter flere kontrolpunkter og giver mulighed for absolut beskyttelse af brugerens autentificeringsdata. Ved hjælp af hashfunktioner giver den de nødvendige mekanismer til at skabe stærke og sikre adgangskoder, der er afledt af de data, som brugeren har leveret i adgangskodegenereringsprocessen. Vi kalder derfor LISTHASH for en afledt adgangskodeadministrator, da den kaotisk, men deterministisk udleder nye data fra basisdata, der er komplekse nok til at blive brugt som adgangskoder.
Hvad er afledning af adgangskoder fra et master seed?
Udledning af adgangskoder fra et master seed er en metode til at generere sikre og unikke adgangskoder fra et hemmeligt stykke data, kendt som et master seed. Master seed kan være en sætning, et stykke tekst eller en række data, hvis eneste betingelse er, at det er langt og komplekst nok til at være svært for en angriber at gætte, men let kan huskes af en bruger med omfattende viden om digital sikkerhed.
Når du har et master seed, kan du bruge en hash-funktion til at generere unikke adgangskoder til hver konto. Som vi allerede har diskuteret, er en hash-funktion en matematisk funktion, der tager et input (i dette tilfælde master seed) og omdanner det til et output (i dette tilfælde adgangskoden). Outputtet er altid det samme for det samme input, men det er umuligt at invertere funktionen for at rekonstruere det oprindelige input.
Hvordan fungerer hashes til at skabe adgangskoder?
At bruge hashes til at oprette adgangskoder er en enkel, men effektiv måde at beskytte autentificeringsdata på. Ved at kombinere en mindeværdig, men statistisk kompleks sætning, nøgle eller datasæt med en sikker hash-funktion, kan du generere unikke og svært gættelige adgangskoder, der beskytter dine data mod cyberkriminelle. Den grundlæggende proces er som følger:
1. Vælg en sætning, en nøgle eller et stykke data, der repræsenterer komplekse og sikre oplysninger, men som er let at huske og ikke let kan knyttes til brugeren-det bliver seed'et. For eksempel et fragment af en bog, et specifikt billede eller et stykke data, der er synligt for det blotte øje, men ubestemmeligt for en angriber.
2. Brug en hashfunktion, f.eks. SHA-256, til at konvertere seed til en unik hashværdi, der fungerer som et grundlæggende mellemled til at hente autentificeringsdata.
3. Tilføjelse af salt, eller »saltning«, for at øge sikkerheden. I dette tilfælde er salt en hemmelig værdi, f.eks. en hovedadgangskode, som kombineres med seed'en, før hashfunktionen anvendes endnu en gang-hvilket gør det endnu sværere for en angriber at knække den endelige adgangskode.
4. Kortlæg resultatet af den endelige hashfunktion til en streng af alfanumeriske tegn fra seed'et, der kan bruges som adgangskode.
Er der nogen risiko ved at bruge adgangskoder afledning fra et master seed?
Den største risiko ved at bruge adgangskoder afledning fra et master seed er, at hvis du mister dit master seed, ikke kan huske det, eller glemmer de data, der bruges til at salte seed'et, vil du miste adgangen til dine konti. Derfor er det vigtigt at vælge et master seed, som kun kan huskes af brugeren, men som er umuligt for en angriber at bestemme.
LISTHASH-kontrolpunkter
For at opnå absolut fortrolighed og generere stærke og sikre adgangskoder etablerer LISTHASH tre kontrolpunkter i sin afledningsproces:
1. Seed: Til at begynde med bruges et seed, som ikke kun genererer unikke og sikre data, men også definerer det tegnsæt, som manageren anvender til at generere adgangskoder. LISTHASH kræver, at seed'et indeholder mindst 62 forskellige tegn for at blive accepteret af programmet.
2. Liste over konti: Hver konto, der er registreret i LISTHASH, har en unik identifikator og er repræsenteret af tilhørende servicedata, brugeren og den ønskede længde på den adgangskode, der skal genereres. Disse data er som standard krypterede, så de kan eksporteres uden for den enhed, hvor de opbevares.
3. Hemmelige koder: Til sidst indtaster brugeren hemmelige koder, som kun han/hun kan huske. Disse koder tilføjer »salt« til den endelige adgangskodegenerering, hvilket øger usikkerheden i resultatet af hashfunktionerne.
Vigtigt: Hvis de specifikke oplysninger for et eller flere af de ovennævnte kontrolpunkter mangler, er det umuligt at få adgang til de korrekte autentificeringsdata. Derfor vil kun et fuldstændigt kendskab til de specifikke data ved hvert kontrolpunkt gøre det muligt at gendanne en adgangskode. Denne proces sikrer, at et brud på op til to kontrolpunkter er ubrugeligt for en angriber, der forsøger at få fat i brugerens autentificeringsdata.
Derudover giver konventionelle adgangskodeadministratorer et klart signal til en angriber, når hovedadgangskoden er kompromitteret, da kun dekryptering genererer et læsbart resultat, der giver adgang til autentificeringsdataene. I modsætning hertil producerer LISTHASH-kontroldata altid læsbare, men ugyldige autentificeringsværdier, fordi kun nøjagtige og korrekte data ved hvert kontrolpunkt matcher gyldige autentificeringsdata. Et brute force-angreb under disse forhold er endnu mere ineffektivt, da det kræver, at alle mulige kombinationer testes direkte på den tjeneste, der er knyttet til en konto-og denne type angreb kan hurtigt afbødes, når den tilladte fejlgrænse overskrides.
Med LISTHASH er brugeren af manageren ikke tvunget til at opgive sit privatliv eller overlade sikkerheden af sine data til en hackbar cloud-tjeneste.