r   e   k   l   a   m   a
r   e   k   l   a   m   a

Horcrux: menedżer haseł dla paranoików, który nie ma słabych punktów

Strona główna AktualnościOPROGRAMOWANIE

Receptą na niską siłę i powtarzalność haseł używanych w serwisach internetowych i aplikacjach webowych stały się menedżery w rodzaju KeePassa. Przechowując unikatowe, trudne hasła, których nikt raczej sam nie zapamięta, zabezpieczone jednym hasłem głównym, niewątpliwie zwiększają bezpieczeństwo – jednak jako scentralizowane zbiory wrażliwych informacji same stają się celami ataku. Czy można stworzyć menedżer haseł, który na takie ataki byłby odporny? Rozwiązanie „dla paranoików” o nazwie Horcrux przedstawiła dwójka informatyków z University of Virginia. Ich celem było zminimalizowanie i rozproszenie zaufania, przy jednoczesnym zachowaniu podstawowych funkcji współczesnego menedżera haseł.

Horcrux to magiczny obiekt ze świata Harry’ego Pottera, zapewniający czarownikom nieśmiertelność – pojemnik służący do przechowywania części duszy. Grający w Advanced Dungeons and Dragons mogą skojarzyć go z filakterium, wykorzystywanym przez nieumarłe licze pojemnikiem na ich energię życiową, ale horcrux jest bardziej zaawansowany – oferuje rozproszony „hosting” duszy w sfederowanych ze sobą oddzielnych naczyniach (o całkiem ciekawych dodatkowych właściwościach, ale to już inna kwestia). Ciekawa geneza nazwy, jak zobaczycie sporo mająca wspólnego z funkcjonowaniem menedżera haseł dla paranoików.

Twórcy Horcruxa (którzy podobno nikogo przy tym nie zabili – rzecz nie do pomyślenia w uniwersum Harry’ego Pottera) skupili się na dwóch powierzchniach ataku, jakie ujawniają współczesne menedżery haseł. Pierwsza dotyczy interakcji z formularzami logowania. Zwykłe menedżery wypełniają je danymi zapisanymi w swojej bazie. To ryzykowne zachowanie: złośliwy kod w JavaScripcie, wprowadzony np. atakiem XSS, może śledzić dane wprowadzone w elementy DOM.

r   e   k   l   a   m   a

Eksperymentalny menedżer chroni się przed tym w pomysłowy sposób: w pola loginu i hasła wstrzykuje fałszywe dane. Gdy użytkownik kliknie przycisk Prześlij, wówczas przechwytywane jest żądanie HTTP POST i w nim dopiero dane fałszywe podmieniane są na realną parę loginu i hasła. Jest to pierwsza praktyczna realizacja pomysłu, który pojawił się w branży bezpieczeństwa trzy lata temu, w pracy pt. Protecting Users Against XSS-based Password Manager Abuse. Co więcej, sprawdzono ją w praktyce – ma ona działać na 98% witryn z zestawienia Alexa Top 1 Million Sites.

Druga z powierzchni ataku dotyczy samego przechowywania haseł. Tradycyjne menedżery przechowują wszystko w jednym pliku czy bazie – przełamanie zabezpieczeń oznacza utratę wszystkiego. Horcrux robi to samo, co jego książkowy odpowiednik: rozprasza chronione dane pomiędzy wiele serwerów. Nawet jeśli napastnik uzyska dostęp do jednego z nich, przejmie tylko część haseł.

Dodatkowo takie rozproszone hasła chronione są za pomocą kukułczego haszowania – tak aby napastnik nie mógł odkryć, czy zgadnięte przez niego hasło główne jest tym poprawnym. Ma to znacząco ograniczyć jego możliwości odzyskania haseł, nawet po przejęciu jednego z hostujących je serwerów.

Póki co Horcrux jest w prototypowej formie rozszerzenia do Firefoksa. Aby z tego menedżera skorzystać, należy dysponować Firefoksem w wersji beta lub nightly, w którym opcja xpinstall.signatures.required w ustawieniach zaawansowanych (about:config) zostanie ustawiona na false.

Należy też dysponować środowiskiem deweloperskim Node.js, z zainstalowanym runtime jpm (npm install jpm --global), oraz narzędziem git. Po sklonowaniu repozytorium (git clone https://github.com/HainaLi/horcrux_password_manager.git) wydajemy z jego katalogu polecenie jpm run. Po około minucie uruchomi się nam Firefox z działającym rozszerzeniem. Panel dialogowy poprosi nas o ciąg JSON do skonfigurowanego magazynu danych oraz o hasło główne do menedżera.

Skonfigurowanie magazynów danych to sporo roboty – póki co wspierana jest tylko usługa DynamoDB w chmurze Amazonu (niebawem pojawić się ma wsparcie dla chmury Azure), szczegóły znajdziecie w dokumentacji. Jak widać, póki co to nie jest rozwiązanie dla Zwykłego Użytkownika, ale na podstawie takiego prototypu można już pracować nad produktem, z którego mógłby korzystać każdy.

Więcej na temat tego ciekawego projektu dowiecie się z artykułu pt. Horcrux: A Password Manager for Paranoids.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.   

Trwa konkurs "Ogól naczelnego", w którym codziennie możecie wygrać najnowsze maszynki systemowe Hydro Connect 5 marki Wilkinson Sword.

Więcej informacji

Gratulacje!

znalezione maszynki:

Twój czas:

Ogól Naczelnego!
Znalazłeś(aś) 10 maszynek Wilkinson Sword
oraz ogoliłaś naszego naczelnego!
Przejdź do rankingu
Podpowiedź: Przyciśnij lewy przycisk myszki i poruszaj nią, aby ogolić brodę.