2

Blizzardでの最近のデータ侵害に照らして、ブルートフォースおよびソルトハッシュパスワードストレージについて質問したいと思います。

Ars Technicaには、 Blizzardが保存するソルトハッシュパスワードでさえも短い順序で解読される可能性がある理由についての優れた記事があります。

ソルトとハッシュが使用されているため、ブルートフォース攻撃が「複雑な」パスワードを解読する唯一の実行可能な方法であることがわかっています(辞書/プレーンワードのパスワードは簡単です)...しかし、ArsTechnicaは広大な計算能力の向上(ローカルとクラウドの両方)により、ブルートフォースクラッキングがより実行可能になります。

Webサイトの場合、Jeff Atwoodは、認証試行の遅延を強制すると、ブルートフォース攻撃を現実的に阻止できると述べています。しかし、Blizzard違反の場合、ハッカーはDBを物理的に制御できるため、そのようなアクセシビリティ制限を課すことはできません。

その結果、ブルートフォース攻撃者が直面するエントロピーが増加するため、ジェフはパスフレーズも推奨します。しかし、これも、計算能力が向上し、アクセスしやすくなるにつれて、最終的には効果的に衰退します。

したがって、問題は次のとおりです。計算能力の向上によって脆弱ではない、どのようなブルー​​トフォース保護スキームを実装できますか?

2段階認証がよく検討されますが、これらのアルゴリズムの一部も壊れていると聞いています。物理オーセンティケーターには静的なアルゴリズムがある可能性が高いため、一度クラックされると、すべてのユーザーが脆弱になります。

認証DB全体に適用されるスケジュールされたローリングソルトはどうですか?これにより多くのオーバーヘッドが追加されますが、物理DBがリークされた場合でも安全であるように思われます。

4

1 に答える 1

1

セキュリティはいくつかの組み合わせです(このリストよりもはるかに多くのものがありますが、この投稿を本に変えるのではなく、今のところこれらに留めておきます):

  • 暗号化-複雑さ; 元のコンテンツが何であるかを知ることを困難にします
  • 難読化-不明瞭/保護; 他のスクリプト/ユーザーがセキュリティスキームがどのように機能するかを知り、推測することを困難にします。
  • 侵入防止/対応-セキュリティ違反(または違反の試み)がいつ発生したかを判断し、インシデントに対応する

暗号化は、ハッシュ、ソルト、SSL、キーなどです。難読化は、ステガノグラフィ、ローテーションソルトの使用、スクリプトがアクセスできない別のサーバーへのパスワードの分離などです。侵入防止/応答は、レートなどです。制限、遅延、違反が通知された後のサーバーのシャットダウンなど。

今あなたの質問を見てください:計算能力の増加のために脆弱ではない、どのようなブルー​​トフォース保護スキームを実装することができますか?

私の答え:なし。誰かが量子コンピューターを構築するか、数学者が私たちの頭からすべての心を吹き飛ばすような方法で群論への拡張を書かない限り、すべての「ブルートフォース保護スキーム」は計算能力の増加に対して脆弱になります(特にクラウドサーバーやボットネットなどの分散処理)。

あなたの恐れは、データベースがアクセスされ、ハッシュ化されたパスワードがハッカーに見られたブリザードの場合のようです。誰かがハッシュを持っていて、あなたのソルト/ハッシュ手順を知っているなら、彼らがパスワードを取得できるようになるのは時間の問題です。この時点では、暗号化についてのみ話しているのは、他のすべてが既知であるか、議論の余地があるためです。

これは数学の問題です。パスワードが長く複雑になると、桁違いに増加し、文字が追加されるたびに問題が指数関数的になります。しかし、ブルートフォースアルゴリズムの計算能力を指数関数的に増加させると、二乗に戻ります。

ハッカーがデータベースに保存されているハッシュを入手した場合は、すぐにデータベースをロックし、それらがどのように侵入したかを把握し、そのセキュリティホールを修正し、認証手順にステップを追加して、新しい認証でデータベースを更新します手順を実行し、すべてをオンに戻します。

つまり、ハッカーがアクセスできないように、認証サーバー/データベースがすべてのレベルで安全であることを確認してください。

「もっと時間を購入」したいだけなら、複雑さを加えてください。ただし、これによってデータベースがより安全になるわけではないことに注意してください。そもそも誰かがハッシュを取得するのを防ぐために、データベースをロックダウンする方法を分析する方がよいでしょう。

于 2012-08-13T22:19:05.613 に答える