Authentifizierungssystem mit Schutz vor Passwortdatenbank-Hack entwickelt

Eine Gruppe von Sicherheitsforschern hat ein System zur Authentifizierung entwickelt, das es Hackern erschwert, an Passwörter aus gestohlenen Datenbanken zu kommen, wodurch die durch Hacks verursachten Verluste verringert werden sollen.

Das System mit dem Namen ErsatzPasswords wird in einem Bericht von Mohammed H. Almeshekah beschrieben und wird auf der 2015 Annual Computer Security Applications Conference zur Prüfung vorgelegt werden, die im Dezember dieses Jahres in Los Angeles stattfinden wird.

Nach Aussage von Almeshekah „können Hacker noch immer die Datei hacken, doch die Passwörter, die sie erhält, sind falsche Passwörter oder Passwort-Attrappen“.

Die Passwörter werden normalerweise in Form von Hashs gespeichert, die nach einem bestimmten Algorithmus verschlüsselt sind. Man hält das für eine sicherere Methode als die Speicherung in offener Form. Dabei ist es zwar schwierig, ein Kennwort aus einer gestohlenen Hash zu extrahieren, aber keinesfalls unmöglich.

Zu diesem Zweck setzen Hacker die Brute-Force-Methode ein (Ausprobieren). Dabei werden spezielle Wörterbücher eingesetzt, die Listen von Wörtern enthalten, welche Passwörter sein könnten. Für jedes Wort wird die Hash berechnet und diese wird dann mit den Werten in der gestohlenen Datenbank abgeglichen. Das erfordert Zeit und erhebliche Rechenressourcen.

Um die dafür aufzuwendende Zeit zu verkürzen, nutzen Hacker spezielle Programme mit großen Passwort-Datenbanken, die irgendwann mal an unterschiedlichen Stellen gestohlen wurden und in denen die Hashs bereits berechnet sind. Diese Datenbanken werden mit jedem Tag und jedem Hack größer, und da der Mensch an sich nicht dazu tendiert, sich knifflige Passwörter auszudenken und sich diese dann zu merken, wird die Arbeit der Hacker wesentlich beschleunigt.

Linux-Systeme ergänzen bei der Berechnung der Hash einen willkürlichen Wert, der Salt genannt wird, was das Erraten des Passworts wiederum erschwert, denn die Hacker müssen in diesen Fällen im Vorwege auch noch das Salt errechnen.

ErsatzPasswords fügt einen neuen Schritt hinzu – die Anwendung einer Funktion auf das Passwort, die von dem Hardware Security Module, HSM, generiert wird. Auf diese Weise ist es unmöglich, das Passwort aus der Hash ohne Zugriff auf das HSM wiederherzustellen.

Wenn ein Hacker also eine Übereinstimmung mit irgendwelchen Hashs aus der Datenbank erhält, werden alle diese Passwörter nicht funktionieren, wobei ein Hacker das so lange nicht bemerkt, bis er versucht, sie für den Zugriff auf einen Service zu verwenden.

Laut Almeshekah ermöglicht es ErsatzPasswords, die Server-Administratoren über die Eingabe eines falschen Passworts zu informieren. Das System kann so konfiguriert werden, dass es bei Eingabe eines falschen Passwortes auch einen falschen Account erstellt und der Administrator somit bemerkt, wenn versucht wird, seinen Server zu hacken.

Die Installation von ErsatzPasswords auf dem Server ist recht einfach, der Code ist auf GitHub verfügbar. Er ist kostenlos und wird unter einer Apache-Lizenz herausgegeben.

Quelle: CSO

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.