News

Authentifizierungssystem mit Schutz vor Passwortdatenbank-Hack entwickelt

Eine Gruppe von Sicherheitsforschern hat ein System zur Authentifizierung entwickelt, das es Hackern erschwert, an Passwörter aus gestohlenen Datenbanken zu kommen, wodurch die durch Hacks verursachten Verluste verringert werden sollen.

Das System mit dem Namen ErsatzPasswords wird in einem Bericht von Mohammed H. Almeshekah beschrieben und wird auf der 2015 Annual Computer Security Applications Conference zur Prüfung vorgelegt werden, die im Dezember dieses Jahres in Los Angeles stattfinden wird.

Nach Aussage von Almeshekah „können Hacker noch immer die Datei hacken, doch die Passwörter, die sie erhält, sind falsche Passwörter oder Passwort-Attrappen“.

Die Passwörter werden normalerweise in Form von Hashs gespeichert, die nach einem bestimmten Algorithmus verschlüsselt sind. Man hält das für eine sicherere Methode als die Speicherung in offener Form. Dabei ist es zwar schwierig, ein Kennwort aus einer gestohlenen Hash zu extrahieren, aber keinesfalls unmöglich.

Zu diesem Zweck setzen Hacker die Brute-Force-Methode ein (Ausprobieren). Dabei werden spezielle Wörterbücher eingesetzt, die Listen von Wörtern enthalten, welche Passwörter sein könnten. Für jedes Wort wird die Hash berechnet und diese wird dann mit den Werten in der gestohlenen Datenbank abgeglichen. Das erfordert Zeit und erhebliche Rechenressourcen.

Um die dafür aufzuwendende Zeit zu verkürzen, nutzen Hacker spezielle Programme mit großen Passwort-Datenbanken, die irgendwann mal an unterschiedlichen Stellen gestohlen wurden und in denen die Hashs bereits berechnet sind. Diese Datenbanken werden mit jedem Tag und jedem Hack größer, und da der Mensch an sich nicht dazu tendiert, sich knifflige Passwörter auszudenken und sich diese dann zu merken, wird die Arbeit der Hacker wesentlich beschleunigt.

Linux-Systeme ergänzen bei der Berechnung der Hash einen willkürlichen Wert, der Salt genannt wird, was das Erraten des Passworts wiederum erschwert, denn die Hacker müssen in diesen Fällen im Vorwege auch noch das Salt errechnen.

ErsatzPasswords fügt einen neuen Schritt hinzu – die Anwendung einer Funktion auf das Passwort, die von dem Hardware Security Module, HSM, generiert wird. Auf diese Weise ist es unmöglich, das Passwort aus der Hash ohne Zugriff auf das HSM wiederherzustellen.

Wenn ein Hacker also eine Übereinstimmung mit irgendwelchen Hashs aus der Datenbank erhält, werden alle diese Passwörter nicht funktionieren, wobei ein Hacker das so lange nicht bemerkt, bis er versucht, sie für den Zugriff auf einen Service zu verwenden.

Laut Almeshekah ermöglicht es ErsatzPasswords, die Server-Administratoren über die Eingabe eines falschen Passworts zu informieren. Das System kann so konfiguriert werden, dass es bei Eingabe eines falschen Passwortes auch einen falschen Account erstellt und der Administrator somit bemerkt, wenn versucht wird, seinen Server zu hacken.

Die Installation von ErsatzPasswords auf dem Server ist recht einfach, der Code ist auf GitHub verfügbar. Er ist kostenlos und wird unter einer Apache-Lizenz herausgegeben.

Quelle: CSO

Authentifizierungssystem mit Schutz vor Passwortdatenbank-Hack entwickelt

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach