Személyes és üzleti adataink digitális biztonsága

Adatvédelem & Informatikai biztonság

Adatvédelem & Informatikai biztonság

Érdekes jelszókezelő van születőben

Facebook Tweet
2017. július 17. - ITsec

Szerző: Biztonságportál | Utolsó módosítás: 2017.07.12.

https://biztonsagportal.hu/erdekes-jelszokezelo-van-szuletoben.html

Horcrux néven egy új jelszókezelő alkalmazás látott napvilágot, amely két lényeges tulajdonságában is különbözik a hasonló célú programoktól. 

A Virginia Egyetem két kutatója úgy határozott, hogy kifejlesztenek egy olyan jelszókezelő technológiát, amely orvosolja azokat a gyenge pontokat, amikkel sok más jelszókezelő alkalmazás nem tud megbirkózni.

 
Mivel a hasonló szoftverek, illetve szolgáltatások jelenleg is szép számban érhetők el, ezért az ilyen fejlesztések jelentős kockázatot hordoznak legalábbis, ami a megtérülést illeti. Ez esetben azonban inkább az egyetemi kutatómunka került középpontba, és egy olyan technológia kidolgozása volt a cél, amely a jövőben nem feltétlenül csak a Horcrux névre keresztelt szoftverben kaphat majd helyet.

A Horcrux alapvetően két jellemzőjében tér el a hasonló programoktól. Az első, hogy másképp tölti ki a webes űrlapokat. A hagyományos jelszókezelők a böngészőkbe automatikusan beírják a felhasználó által korábban elmentett hitelesítő adatokat, és amikor a felhasználó a belépés gombra kattint, akkor az azonosítás megtörténik. Ez a módszer azonban a kutatók szerint kockázatokat hordoz, mivel JavaScriptek segítségével kiolvashatóvá válhatnak az azonosításhoz szükséges adatok.
 
A Horcrux ezt a problémát úgy küszöböli ki, hogy a bejelentkezés előtt véletlenszerű (direkt téves) adatokkal tölti fel a felhasználónév/jelszó mezőket. Így az adattolvajok ekkor nem juthatnak hozzá az érvényes hitelesítő adatokhoz. Amikor pedig a felhasználó bejelentkezik (HTTP POST kérést küld a szerver felé), akkor a hálózati kérésben a Horcrux lecseréli a megtévesztést szolgáló információkat a valós felhasználónév/jelszó párosra. A kutatók tesztje szerint ez a megoldás a weboldalak 98 százalékának esetében működőképes.
 
Az új jelszókezelő másik érdekessége a jelszótárolásban rejlik. A felhasználói adatokat ugyanis elosztottan kezeli (Cuckoo hashing technikát is bevetve), így ha egy támadó hozzá is fér egy jelszótároló szerverhez, akkor sem tudja az adott felhasználó összes hitelesítő adatát megkaparintani.
 
A Horcrux jelenleg forráskód szinten érhető el, amiből Firefox bővítmény hozható létre. A nagyobb kihívás, hogy egyelőre a felhasználóknak kell(ene) saját maguknak kialakítaniuk a szerverkörnyezetet is, amit minden bizonnyal nem fognak sokan megtenni. Viszont a vállalkozó szelleműek egy újszerű jelszókezelő rendszert hozhatnak létre a segítségével.

komment
jelszó it-biztonság technológia

Ajánlott bejegyzések:

süti beállítások módosítása