ErsatzPasswords или система против брутфорса


it-securityНезависимые эксперты по безопасности разработали систему, существенно затрудняющую для хакеров процесс извлечения паролей из похищенных баз данных. По словам разработчиков, приложение ErsatzPasswords обезопасит от злоумышленников, использующих брутфорс. Т.е., хакеры по-прежнему смогут взломать файл, однако при использовании системы, она будет "подсовывать" им неверные пароли.

Отметим, что как правило, те пароли, которые используются организациями, обычно хранятся в хешированном виде. И несмотря на то, что такой способ хранения является довольно надежным, при определенных усилиях все же можно извлечь из хеша учетные данные в открытом виде.

Сам брутфорс занимает довольно много времени и сил. По этой причине, для ускорения процесса, хакеры зачастую используют специальные программы наподобие John the Ripper, которые предлагают списки похищенных ранее паролей, где хеш уже был вычислен. Эти списки пополняются ежедневно. А поскольку пользователи обычно используют несложные учетные данные, то работа злоумышленников существенно упрощается.

При создании пароля для сервисов в Linux перед шифрованием к хешу добавляется произвольное значение (соль). ErsatzPasswords добавляет еще один шаг. Перед шифрованием пароль проходит через функцию, которая была сгенерирована, например, аппаратным модулем безопасности. В данном случае добавленная характеристика позволяет получить пароль в открытом виде только в случае, если есть доступ к аппаратному модулю. В итоге, сверяя значение хеша с паролями из списка, злоумышленники каждый раз будут получать неверный результат.

Код ErsatzPasswords распространяется бесплатно под лицензией Apache и доступен на GitHub.


Обновлено (19.05.2015 23:40)