Masz kłopoty z tworzeniem i zapamiętywaniem haseł? Zestaw kości rozwiązaniem
Stworzenie dobrego hasła bywa kłopotliwe. Długie i unikatowe ciągi są optymalne z perspektywy bezpieczeństwa, ale ciężkie do zapamiętania, menedżer zaś to tylko częściowe rozwiązanie. Sam też wymaga odpowiednio silnego hasła, a najlepiej weryfikacji dwuetapowej z fizycznym kluczem U2F, który to z kolei można po prostu zgubić – twierdzi Stuart Schechter, wykładowca Uniwersytetu Kalifornijskiego w Berkeley. I od razu wskazuje wyjście.
Jest nim zestaw kości. Trochę podobnych do tych, z których korzysta się przy klasycznej barowej grze w kości. Tyle że zestaw obejmuje nie sześć, lecz aż 25 sztuk, a te zamiast znanych doskonale "oczek", mają na ścianach kombinacje składające się z litery, cyfry i unikatowego wzorca do optycznego odczytu orientacji w przestrzeni. Są ponadto umieszczone w takim pudełku, aby po wykonaniu rzutu pozostały na swoich miejscach. Tak długo aż ktoś pudełka nie otworzy i nie zdecyduje się rzucić raz jeszcze.
Zgaduj zgadula bez szans
Do zestawu dołączona jest aplikacja i właśnie tu odbywa się większość magii. Opierając się na układzie kości w rzucie, narzędzie generuje klucz kryptograficzny, a następnie korzysta z autorskiego algorytmu do przekucia go w hasło, np. do menedżera. Jak wylicza pomysłodawca Schechter, można w ten sposób uzyskać 2^192 różnych kombinacji. Jest to więcej niż wynosi liczba atomów w Układzie Słonecznym. Jakieś 4-5 tys. razy więcej.
Co kluczowe, aplikacja żadnych danych nie gromadzi, dzięki czemu nie jest podatna na żaden atak bazodanowy. Za to może odtworzyć zarówno klucz, jak i hasło, jeśli nie zmieni się układ wyrzuconych kości. Czyli mamy tu do czynienia z czymś na kształt fizycznej maszyny szyfrującej, która ciężar zabezpieczeń wynosi z internetu na świat materialny.
W czym to jest lepsze od standardowej fiszki z hasłem, zamkniętej w, dajmy na to, szafie pancernej? Zdaniem Schechtera, zasadniczych zalet jest kilka. Po pierwsze – pudełko z kośćmi to przedmiot znacznie trudniejszy do zgubienia niż kawałek papieru. Po drugie – jest też znacznie odporniejsze na czynniki fizyczne, bo można je wykonać chociażby z materiałów ognioodpornych. Po trzecie – znika konieczność samodzielnego myślenia nad hasłem. I po czwarte – stanowi zasobnik dość nieoczywisty. Kiedy więc ewentualny włamywacz je znajdzie, nigdzie nie jest powiedziane, że będzie wiedział, co powinien z nim zrobić.
Na wczesnym etapie
Przyznajcie, brzmi to przekonująco. Choć należy zauważyć, że na razie cały projekt DiceKeys, jak nazywa go autor, znajduje się na bardzo wczesnym etapie rozwoju. Funkcja tworzenia klucza kryptograficznego kompatybilna jest wyłącznie z jednym typem klucza U2F, otwartoźródłowym SoloKey. Tymczasem cały back-end znajduje się w internecie, co z oczywistych przyczyn stanowi poważną piętę achillesową. Sama realizacja też nie zachwyca, bo docelowo pudełko ma być ze stali ogniotrwałej, a na razie jest plastikowe.
Niezrażony wynalazca obiecuje m.in. dedykowane aplikacje na Androida oraz iOS, a także otwarte API pozwalające integrować z DiceKeys dowolne inne narzędzia, w tym portfele kryptowalut. Zaprasza przy tym do współpracy społeczność programistów open source i wszystkich, którzy mają pomysł jak ulepszyć kości od strony fizycznej. Jak przekonuje, chce pomóc całej społeczności internetu na drodze do całkowicie bezpiecznego magazynowania haseł oraz dostępów.