Mergulhando nos hashes: Funções, algoritmos e aplicativos
O que é um gerenciador de senhas derivativo?
No mundo digital de hoje, a segurança das senhas é mais importante do que nunca. Como os criminosos cibernéticos estão constantemente procurando novas maneiras de acessar nossas contas e roubar nossos dados, uma das melhores maneiras de se proteger é usar senhas fortes e exclusivas para cada conta.
No entanto, lembrar senhas fortes e exclusivas para todas as nossas contas pode ser difícil. É por isso que o uso de gerenciadores de senhas é uma solução cada vez mais popular. Em geral, os dados de autenticação em um gerenciador de senhas tradicional incorporam o usuário e a senha em um único conjunto de dados que é criptografado com uma senha mestra. O conhecimento da senha mestra revela a totalidade dos dados de autenticação protegidos pelo gerenciador tradicional e, portanto, um ataque com o objetivo de determinar uma única parte crítica dos dados pode resultar em uma violação de segurança catastrófica.
O LISTHASH implementa uma nova forma de gerenciamento de senhas que incorpora vários pontos de controle e permite a privacidade absoluta dos dados de autenticação do usuário. Ao empregar funções de hash, ele fornece os mecanismos necessários para criar senhas fortes e seguras derivadas de dados fornecidos pelo usuário no processo de geração de senhas. Por isso, chamamos o LISTHASH de gerenciador de senhas derivativo, uma vez que, a partir de uma informação de base, ele deriva de forma caótica, mas determinística, novos dados que são complexos o suficiente para serem usados como senhas.
O que é a derivação de senhas a partir de uma semente mestre?
A derivação de senhas a partir de uma semente mestre é um método para gerar senhas seguras e exclusivas a partir de um dado secreto, conhecido como semente mestre. A semente mestre pode ser uma frase, um pedaço de texto ou uma série de dados cuja única condição é ser longa e complexa o suficiente para ser difícil de ser adivinhada por um atacante, mas que possa ser facilmente lembrada por um usuário com amplo conhecimento de segurança digital.
Depois de ter uma semente mestre, você pode usar uma função de hash para gerar senhas exclusivas para cada conta. Como já discutimos, uma função de hash é uma função matemática que recebe uma entrada (neste caso, a semente mestra) e a converte em uma saída (neste caso, a senha). A saída da função de hash é sempre a mesma para a mesma entrada, mas é impossível inverter a função para obter a entrada a partir da saída.
Como os hashes funcionam para criar senhas?
O uso de hashes para criar senhas é uma maneira simples, porém eficaz, de proteger os dados de autenticação. Ao combinar uma frase, uma chave ou um dado que represente uma informação complexa e segura, mas que seja fácil de lembrar e não seja facilmente vinculada ao usuário, com uma função de hash segura, é possível criar senhas exclusivas e difíceis de adivinhar, que manterão seus dados protegidos contra criminosos cibernéticos. O processo básico a ser seguido é o seguinte:
1. Escolha uma frase, uma chave ou um dado que represente uma informação complexa e segura, mas que seja fácil de lembrar e não seja facilmente vinculada ao usuário. Por exemplo, um fragmento de um livro, uma imagem específica ou um dado visível a olho nu, mas indeterminado para um atacante.
2. Use uma função de hash, como SHA-256, para converter a semente em um valor de hash exclusivo e em uma peça fundamental e intermediária para a recuperação de dados de autenticação.
3. Adicionar sal, ou “salting”, para aumentar a segurança. A salga, nesse caso, é um valor secreto, por exemplo, uma senha mestra, que é combinada com a semente antes de a função de hash ser aplicada uma segunda vez, tornando ainda mais difícil para um invasor decifrar a senha finalmente recuperada.
4. Mapeie o resultado da aplicação da função de hash final para uma sequência de caracteres alfanuméricos da semente que pode ser usada como senha.
Há algum risco no uso da derivação de senhas a partir de uma semente mestre?
O principal risco de usar a derivação de senha a partir de uma semente mestre é que, se você perder a semente mestre ou não se lembrar dela, ou esquecer os dados usados para salgar a semente, será impossível acessar suas contas. Portanto, é importante escolher uma semente mestra que possa ser lembrada apenas pelo usuário, mas que seja impossível de ser determinada por um atacante.
Pontos de controle do LISTHASH
Para obter privacidade absoluta e a geração de senhas fortes e seguras, o LISTHASH estabelece três pontos de controle em seu processo de derivação:
1. Semente: Inicialmente, é usada uma semente que não só fornece um dado exclusivo e seguro, mas também o conjunto de caracteres que será usado pelo gerenciador para a geração de senhas. O LISTHASH exige que a semente contenha pelo menos 62 caracteres diferentes para ser aceita pelo aplicativo.
2. Lista de contas: Cada conta registrada no LISTHASH tem um identificador exclusivo e é representada com os dados do serviço, o usuário e o tamanho da senha a ser gerada. Esses dados são criptografados por padrão para que possam ser exportados para fora do dispositivo que os armazena.
3. Códigos secretos: Por fim, para a geração, o usuário fornece códigos secretos que somente ele pode lembrar. Esses códigos têm a função de adicionar “sal” à geração final da senha, aumentando a incerteza do resultado das funções de hash.
Importante: A falta de informações específicas em qualquer um dos pontos de controle acima impossibilitará o acesso aos dados de autenticação corretos. Portanto, somente o conhecimento abrangente dos dados específicos em cada ponto de controle permitirá que uma senha seja recuperada. Esse processo garante que uma violação de até dois pontos de controle seja inútil para um invasor em sua tentativa de obter os dados de autenticação do usuário.
Além disso, os gerenciadores de senhas convencionais fornecem um sinal claro a um atacante quando conseguem comprometer a senha mestra, pois somente a decriptação gera um resultado legível que permite o acesso aos dados de autenticação. Por outro lado, os dados dos pontos de controle do LISTHASH sempre produzem valores de autenticação legíveis, mas inválidos, pois somente dados precisos e corretos em cada ponto de controle corresponderão a dados de autenticação válidos. Um ataque de força bruta nessas condições é ainda mais ineficiente, pois requer o teste de todas as combinações possíveis diretamente no serviço vinculado a uma conta, e esse tipo de ataque pode ser rapidamente atenuado ao exceder os erros admissíveis por um serviço.
Com o LISTHASH, o usuário do gerenciador não é forçado a abrir mão de sua privacidade ou a confiar a segurança de seus dados a um serviço de nuvem que pode ser hackeado.