Horcrux: menedżer haseł dla paranoików, który nie ma słabych punktów

Horcrux: menedżer haseł dla paranoików, który nie ma słabych punktów05.07.2017 15:59

Receptą na niską siłę i powtarzalność haseł używanych wserwisach internetowych i aplikacjach webowych stały się menedżeryw rodzaju KeePassa. Przechowując unikatowe, trudne hasła, którychnikt raczej sam nie zapamięta, zabezpieczone jednym hasłem głównym,niewątpliwie zwiększają bezpieczeństwo – jednak jakoscentralizowane zbiory wrażliwych informacji same stają się celamiataku. Czy można stworzyć menedżer haseł, który na takie atakibyłby odporny? Rozwiązanie „dla paranoików” o nazwie Horcruxprzedstawiła dwójka informatyków z University of Virginia. Ichcelem było zminimalizowanie i rozproszenie zaufania, przyjednoczesnym zachowaniu podstawowych funkcji współczesnegomenedżera haseł.

Horcrux to magiczny obiekt ze świata Harry’ego Pottera,zapewniający czarownikom nieśmiertelność – pojemnik służącydo przechowywania części duszy. Grający w Advanced Dungeons andDragons mogą skojarzyć go z filakterium, wykorzystywanym przeznieumarłe licze pojemnikiem na ich energię życiową, ale horcruxjest bardziej zaawansowany – oferuje rozproszony „hosting”duszy w sfederowanych ze sobą oddzielnych naczyniach (o całkiemciekawych dodatkowych właściwościach, ale to już inna kwestia).Ciekawa geneza nazwy, jak zobaczycie sporo mająca wspólnego zfunkcjonowaniem menedżera haseł dla paranoików.

Twórcy Horcruxa (którzy podobno nikogo przy tym nie zabili –rzecz nie do pomyślenia w uniwersum Harry’ego Pottera) skupili sięna dwóch powierzchniach ataku, jakie ujawniają współczesnemenedżery haseł. Pierwsza dotyczy interakcji z formularzamilogowania. Zwykłe menedżery wypełniają je danymi zapisanymi wswojej bazie. To ryzykowne zachowanie: złośliwy kod w JavaScripcie,wprowadzony np. atakiem XSS, może śledzić dane wprowadzone welementy DOM.

Mroczny interfejs prototypu Horcruxa pasuje do nazwy
Mroczny interfejs prototypu Horcruxa pasuje do nazwy

Eksperymentalny menedżer chroni się przed tym w pomysłowysposób: w pola loginu i hasła wstrzykuje fałszywe dane. Gdyużytkownik kliknie przycisk Prześlij, wówczas przechwytywane jestżądanie HTTP POST i w nim dopiero dane fałszywe podmieniane są narealną parę loginu i hasła. Jest to pierwsza praktyczna realizacjapomysłu, który pojawił się w branży bezpieczeństwa trzy latatemu, w pracypt. Protecting Users Against XSS-based Password Manager Abuse.Co więcej, sprawdzono ją w praktyce – ma ona działać na 98%witryn z zestawienia Alexa Top 1 Million Sites.

Druga z powierzchni ataku dotyczy samego przechowywania haseł.Tradycyjne menedżery przechowują wszystko w jednym pliku czy bazie– przełamanie zabezpieczeń oznacza utratę wszystkiego. Horcruxrobi to samo, co jego książkowy odpowiednik: rozprasza chronionedane pomiędzy wiele serwerów. Nawet jeśli napastnik uzyska dostępdo jednego z nich, przejmie tylko część haseł.

Dodatkowo takie rozproszone hasła chronione są za pomocąkukułczegohaszowania – tak aby napastnik nie mógł odkryć, czyzgadnięte przez niego hasło główne jest tym poprawnym. Ma toznacząco ograniczyć jego możliwości odzyskania haseł, nawet poprzejęciu jednego z hostujących je serwerów.

Póki co Horcrux jest w prototypowej formie rozszerzenia doFirefoksa. Aby z tego menedżera skorzystać, należy dysponowaćFirefoksem w wersji beta lub nightly, w którym opcjaxpinstall.signatures.required w ustawieniach zaawansowanych(about:config) zostanie ustawiona na false.

Należy też dysponować środowiskiem deweloperskim Node.js, zzainstalowanym runtime jpm (npm install jpm --global), oraznarzędziem git. Po sklonowaniu repozytorium (git clonehttps://github.com/HainaLi/horcrux_password_manager.git) wydajemy zjego katalogu polecenie jpm run. Po około minucie uruchomi się namFirefox z działającym rozszerzeniem. Panel dialogowy poprosi nas ociąg JSON do skonfigurowanego magazynu danych oraz o hasło głównedo menedżera.

Skonfigurowanie magazynów danych to sporo roboty – póki cowspierana jest tylko usługa DynamoDB w chmurze Amazonu (niebawempojawić się ma wsparcie dla chmury Azure), szczegóły znajdzieciew dokumentacji.Jak widać, póki co to nie jest rozwiązanie dla ZwykłegoUżytkownika, ale na podstawie takiego prototypu można już pracowaćnad produktem, z którego mógłby korzystać każdy.

Więcej na temat tego ciekawego projektu dowiecie się z artykułupt. Horcrux: A Password Manager for Paranoids.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na