Массовые утечки парольных хэшей вроде тех, которые недавно случились с Linkedin (6,5 млн хэшей), оказались возможными в том числе по той причине, что все парольные хэши хранились в единой базе. Есть специальный инструментарий, который позволяет быстро проверять, какому паролю соответствует каждый хэш, проверяя его по заранее сгенерированной базе соответствий хэшей паролям (радужные таблицы), а также генерируя недостающие хэши на высокопроизводительных GPU (брутфорс), с использованием словарей.

Люди часто используют одинаковые пароли на разных сервисах, поэтому одна большая утечка паролей создаёт лавинообразный эффект по взлому других сайтов и почтовых ящиков пользователей.

Исследователи из компании RSA предложили логичный способ улучшения защищённости сайтов в области хранения паролей. Идея в том, чтобы разделить каждый парольный хэш на две части и хранить их на разных серверах. Демонстрационную систему для разделения парольных хэшей разработали в исследовательском подразделении RSA Laboratories в Кембридже (Массачусетс). Руководитель подразделения, доктор Ари Джуелс (Ari Juels) говорит, что их система разделяет хэш на две части. Байты для первой половины выбираются случайным образом. Оставшаяся часть хранится во второй базе. Восстановить пароль по одной половине хэша математически невозможно.

Таким образом, для кражи всех паролей злоумышленнику нужно будет получить доступ не к одной, а к двум базам. Кроме того, он должен узнать алгоритм для сборки хэшей. Такая задача на порядок сложнее, чем просто утянуть единую базу.

Ари Джуелс говорит, что самая «магическая» часть новой системы аутентификации — возможность проверки правильности пароля пользователя без сборки хэша воедино, путём отправки аутентификационных запросов к двумя серверам, где хранятся две части хэшей. Таким образом, в системе не остаётся места, где бы парольные хэши хранились в собранном виде.

RSA обещает начать продажи программного обеспечения до конца текущего года. Хотя сама концепция распределённого хранения хэшей высказывалась и раньше, это будет первое коммерческое ПО, реализующее данную идею. Разработка open source проекта, реализующего данную концепцию, ведётся в Mozilla. См. также библиотеку Paillier Threshold Encryption Toolbox.



Оставить мнение