Einblicke in Hashes: Funktionen, Algorithmen und Anwendungen
Was ist ein derivativer Passwort-Manager?
In der heutigen digitalen Welt ist die Sicherheit von Passwörtern wichtiger denn je. Da Cyberkriminelle ständig nach neuen Wegen suchen, um auf unsere Konten zuzugreifen und unsere Daten zu stehlen, ist eine der besten Möglichkeiten, sich zu schützen, die Verwendung sicherer und eindeutiger Passwörter für jedes Konto.
Es kann jedoch schwierig sein, sich für alle unsere Konten sichere und eindeutige Passwörter zu merken. Daher wird die Verwendung von Passwortmanagern zunehmend beliebter. In der Regel fassen die Authentifizierungsdaten in einem herkömmlichen Passwort-Manager sowohl den Benutzer als auch das Passwort in einem einzigen Datensatz zusammen, der mit einem Master-Passwort verschlüsselt ist. Die Kenntnis des Master-Passworts offenbart die Gesamtheit der durch den traditionellen Manager geschützten Authentifizierungsdaten, sodass ein Angriff, der darauf abzielt, einen einzigen kritischen Teil der Daten zu ermitteln, zu einer katastrophalen Sicherheitsverletzung führen kann.
LISTHASH implementiert eine neue Form der Passwortverwaltung, die mehrere Kontrollpunkte umfasst und den absoluten Schutz der Benutzerauthentifizierungsdaten ermöglicht. Durch den Einsatz von Hash-Funktionen bietet es die notwendigen Mechanismen, um starke und sichere Passwörter zu erstellen, die aus den vom Benutzer im Passwortgenerierungsprozess bereitgestellten Daten abgeleitet werden. Wir bezeichnen LISTHASH daher als einen derivativer Passwortmanager, da er auf chaotische, aber deterministische Weise neue Daten aus Basisdaten ableitet, die komplex genug sind, um als Passwörter verwendet zu werden.
Was ist die Ableitung von Passwörtern aus einem Master-Seed?
Die Ableitung von Passwörtern aus einem Master-Seed ist eine Methode zur Erzeugung sicherer und eindeutiger Passwörter aus einem geheimen Datensatz, dem sogenannten Master-Seed. Dieser kann eine Phrase, ein Text oder eine Reihe von Daten sein, dessen einzige Bedingung darin besteht, dass er lang und komplex genug ist, um für einen Angreifer schwer zu erraten zu sein, während er sich von einem Benutzer mit umfassenden Kenntnissen der digitalen Sicherheit leicht merken lässt.
Sobald Sie einen Master-Seed haben, können Sie eine Hash-Funktion verwenden, um eindeutige Kennwörter für jedes Konto zu erzeugen. Wie bereits erläutert, ist eine Hash-Funktion eine mathematische Funktion, die eine Eingabe (in diesem Fall den Master-Seed) in eine Ausgabe (in diesem Fall das Passwort) umwandelt. Die Ausgabe ist bei gleicher Eingabe stets identisch, während es unmöglich bleibt, die Funktion umzukehren, um die ursprüngliche Eingabe aus der Ausgabe zu rekonstruieren.
Wie funktionieren Hashes bei der Erstellung von Kennwörtern?
Die Verwendung von Hashes zur Erstellung von Kennwörtern ist eine einfache, aber effektive Methode zum Schutz von Authentifizierungsdaten. Indem Sie eine einprägsame, jedoch statistisch komplexe Phrase, einen Schlüssel oder ein Datenelement-also den Seed-mit einer sicheren Hash-Funktion kombinieren, können Sie eindeutige und schwer zu erratende Kennwörter generieren, die Ihre Daten vor Cyberkriminellen schützen. Der grundlegende Prozess ist wie folgt:
1. Wählen Sie eine Phrase, einen Schlüssel oder ein Datenelement, das komplexe und sichere Informationen repräsentiert, aber dennoch leicht zu merken ist und nicht unmittelbar mit dem Benutzer in Verbindung gebracht werden kann-etwa ein Fragment eines Buches, ein bestimmtes Bild oder ein sichtbares, jedoch für einen Angreifer unbestimmbares Datenelement.
2. Verwendung einer Hash-Funktion, z. B. SHA-256, zur Umwandlung des Seeds in einen eindeutigen Hash-Wert, der als grundlegendes Zwischenprodukt für den Abruf von Authentifizierungsdaten dient.
3. Hinzufügen eines Salzes oder „Salting“ zur Erhöhung der Sicherheit. Dabei handelt es sich um einen geheimen Wert, beispielsweise ein Master-Passwort, der mit dem Seed kombiniert wird, bevor die Hash-Funktion ein zweites Mal angewendet wird-wodurch es für einen Angreifer noch schwieriger wird, das endgültig erzeugte Passwort zu knacken.
4. Das Ergebnis der Anwendung der endgültigen Hash-Funktion wird in eine alphanumerische Zeichenkette aus dem Seed umgewandelt, die als Passwort verwendet werden kann.
Gibt es Risiken bei der Ableitung von Passwörtern aus einem Master-Seed?
Das Hauptrisiko besteht darin, dass Sie den Zugriff auf Ihre Konten verlieren, wenn Sie Ihren Master-Seed oder die zum Salzen des Seeds verwendeten Daten vergessen. Daher ist es entscheidend, einen Master-Seed zu wählen, den sich nur der Benutzer leicht merken, der aber für einen Angreifer unmöglich zu ermitteln ist.
LISTHASH-Kontrollpunkte
Um absolute Vertraulichkeit und die Generierung starker, sicherer Passwörter zu erreichen, legt LISTHASH in seinem Ableitungsprozess drei Kontrollpunkte fest:
1. Seed: Zu Beginn wird ein Seed verwendet, der nicht nur eindeutige und sichere Daten liefert, sondern auch den Zeichensatz definiert, der vom Manager zur Passwortgenerierung genutzt wird. LISTHASH verlangt, dass der Seed mindestens 62 verschiedene Zeichen enthält, um von der Anwendung akzeptiert zu werden.
2. Liste der Konten: Jedes in LISTHASH registrierte Konto besitzt eine eindeutige Kennung und wird durch die zugehörigen Dienstdaten, den Benutzer sowie die Länge des zu generierenden Passworts repräsentiert. Diese Daten sind standardmäßig verschlüsselt, sodass sie auch außerhalb des Geräts, auf dem sie gespeichert sind, exportiert werden können.
3. Geheime Codes: Schließlich gibt der Benutzer geheime Codes an, an die sich nur er selbst erinnern kann. Diese Codes fügen der endgültigen Passwortgenerierung ein „Salz“ hinzu, das die Unsicherheit des Ergebnisses der Hash-Funktionen erhöht.
Wichtig: Das Fehlen spezifischer Informationen an einem der oben genannten Kontrollpunkte macht es unmöglich, auf die korrekten Authentifizierungsdaten zuzugreifen. Daher kann ein Passwort nur wiederhergestellt werden, wenn man die spezifischen Daten jedes Kontrollpunkts vollständig kennt. Dieses Verfahren stellt sicher, dass eine Verletzung von bis zu zwei Kontrollpunkten für einen Angreifer bei dem Versuch, an die Authentifizierungsdaten des Benutzers zu gelangen, nutzlos ist.
Außerdem signalisieren herkömmliche Passwort-Manager einem Angreifer eindeutig, dass es ihm gelungen ist, das Master-Passwort zu kompromittieren, da nur die Entschlüsselung ein lesbares Ergebnis liefert, das den Zugriff auf die Authentifizierungsdaten ermöglicht. Im Gegensatz dazu liefern die LISTHASH-Kontrolldaten stets lesbare, jedoch ungültige Authentifizierungswerte, da nur exakte und korrekte Daten an jedem Kontrollpunkt mit den gültigen Authentifizierungsdaten übereinstimmen. Ein Brute-Force-Angriff ist unter diesen Bedingungen sogar noch ineffizienter, da er das Testen aller möglichen Kombinationen direkt auf dem mit einem Konto verknüpften Dienst erfordert-und diese Art von Angriff kann schnell entschärft werden, sobald die zulässigen Fehler eines Dienstes überschritten werden.
Mit LISTHASH muss der Benutzer des Managers weder seine Privatsphäre aufgeben noch die Sicherheit seiner Daten einem hackbaren Cloud-Dienst anvertrauen.