Оригинальный Способ Генерации Мастер-Пароля: Используйте Специальный Набор Игральных Костей.

Каждый раз, когда мы говорим о криптостойком мастер-пароле, на ум приходят стандартные генераторы, встроенные в 1password, KeePass или любой другой менеджер паролей по вашему выбору.

Сначала вы порождаете это, затем учите этому как «Отче наш», а затем действительно молитесь, чтобы не забыть это.

Но любое программное обеспечение, генерирующее случайные надежные пароли, имеет уязвимые места.

И вот, нашелся человек, который предложил сгенерировать базу данных для создания пароля буквально своими руками, без участия программного обеспечения.

Только абсолютная случайность, движимая гравитацией.

Оригинальный способ генерации мастер-пароля: используйте специальный набор игральных костей.
</p><p>

Этого человека зовут Стюарт Шехтер, он учёный-компьютерщик из Калифорнийского университета в Беркли.

Несмотря на усложнение алгоритмов и использование все новых и новых методов генерации шифров и паролей, Шехтер предложил чрезвычайно элегантный в своей простоте способ генерации базы символов для последующего создания мастер-пароля.

Ученый создал набор из 25 шестиугольных игральных костей, на ребре каждого находится пара случайного числа и буквы латинского алфавита.

Свое творение он назвал так же просто, как выглядит сама идея – «DiceKeys».

Ученый предлагает следующую процедуру.

Вы берете набор из 25 кубиков и специальную коробку для их хранения.

Встряхните кости, высыпьте их в коробку и руками помогите всем костям разместиться в специальных клетках тела.

Все, база данных для вашего пароля готова! Сам Шехтер демонстрирует, как это работает, на видео ниже: После броска вам предлагается отсканировать результат с помощью специального приложения для смартфона, которое на основе полученных данных создаст мастер-пароль.

И вуаля, ты прекрасна.

В комплект входит коробка для кубиков, сами кубики и сумка-рандомайзер (вероятно, дополнительный аксессуар для пользователей с большими руками).

Почему решение Шехтера кажется нам крайне любопытным на фоне случайной генерации 128-, 196- или 256-битных паролей в том же KeePass или другом менеджере? Первый: Пароль, сгенерированный машиной, никогда не будет полностью случайным, поскольку не существует абсолютного программного рандомизатора.

Второй: пароль может «уйти» от вас в процессе его генерации на машине (ведь вы обычно генерируете пароль там, где будете его использовать), а значит, он будет скомпрометирован даже при взлете.

Третий: Чтобы защитить от злоумышленников не только пароль, но и сам принцип его генерации, нам нужен другой пароль или изолированная машина (а это следующий уровень паранойи), вот мы и попадаем в порочный круг крипто- надежные пароли.

Что немаловажно, сам Шехтер подчеркивает, что приложение для смартфона никак не взаимодействует с внешним миром и вообще «молчит» в эфире.

И самое главное, набор кубиков в коробке, помимо базы для генерации пароля, выполняет еще и резервную копию этого самого мастер-пароля: при повторном сканировании фиксированной комбинации приложение на том же устройстве восстановит пароль, ранее сгенерированный для вас.

Таким образом, учёный из Беркли, переводя процесс генерации базы паролей в автономный режим, одновременно закрывает три ранее заявленные уязвимости в процессе создания мастер-пароля:

его рандомизатор действительно случайный и не основан на алгоритмах;
два с половиной десятка шестигранных игральных костей со случайными комбинациями букв и цифр дают на выходе 2¹²⁸ опции, то есть невозможно подобрать базу мастер-паролей, даже зная алгоритм шифрования;
в процессе генерации используются сразу две изолированные от сети системы, то есть сама коробка с кубиками и приложение на смартфоне (а для чего-то вроде успокоения внутренней паранойи можно купить дешевый Android-смартфон за полтинник баксов и положите его в сейф вместе с самим набором кубиков).

Последний пункт, касающийся изоляции системы, пожалуй, самый важный.

Давайте включим максимальный режим паранойи, завернёмся в шапочки из фольги и представим, что злоумышленник следит за каждым нашим шагом.

В результате привычные и уже реализованные методы сбора случайных данных для генерации паролей, например, сбор данных «укажи-щелкни окно» для накопления псевдослучайных данных от некоторых генераторов паролей, которые в фоновом режиме анализируют активность на машине, больше не используются.

выглядеть таким безопасным.

Изоляция уязвимого места системы, как правило, является краеугольным камнем информационной безопасности.

Некоторые эксперты даже говорят, что «если вы не хотите, чтобы ваши данные были украдены, не храните их в цифровом виде/на машине с доступом к сети».

Судя по всему, Шехтер руководствовался этим аспектом, когда работал над концепцией своих ключевых кубиков.

Его система уязвима для социальной инженерии только в том случае, если рассматривать использование изолированного смартфона в качестве платформы для генерации мастер-пароля.

Но даже в случае физического контакта злоумышленника с владельцем DiceKeys должно быть соблюдено невероятное количество условий.

Итак, хакер должен знать, что ему нужен набор игральных костей.

Помимо комплекта, для регенерации пароля ему понадобится еще и устройство, от которого был сгенерирован мастер-ключ.

И все это ему придется физически получить.

При этом взлом даже методами социальной инженерии становится невозможным, если пользователь уничтожит комбинацию игральных костей , то есть отключит возможность повторной генерации вашего мастер-пароля.

Итак, чтобы украсть пароль, остается единственный способ – «паяльник» при условии, что человек помнит пароль.

Критика

Но метод, предложенный Стюартом Шехтером, имеет и слабые стороны.

Теперь принцип работы DiceKyes можно протестировать на сайте dicekeys.app , который имитирует бросок игральных костей и сканирует реальные наборы.

Сайт используется до момента готовности мобильного приложения.

Больше всего вопросов возникает к конечному результату генерации — он относительно содержателен и основан на строчных буквах.

Судя по всему, окончательный пароль формируется с использованием английского словаря, чтобы мастер-пароль имел хоть какой-то смысл, то есть его мог запомнить рядовой пользователь.

Вот несколько вариантов, которые получил автор для разных приложений на одном наборе лиц:

1Пароль:

music booth owls cause tweed mutts lance halve foyer sway suave woven item

Автор:

dudes acre nifty yoyo sixth plugs relic exert sugar aged chili human alarm

Фейсбук:

delta had aids pox visa perm spied folic crop cameo old aged smite

Все эти пароли не содержат специальных символов, цифр или переменного регистра, хотя они достаточно длинные, чтобы сделать невозможным взломать такую комбинацию с помощью принудительной загрузки.

В этом случае всегда можно пойти дальше и пропустить полученные слова через другой «генератор», либо преобразовать их в шестнадцатеричную кодировку.

На самом деле есть много вариантов.

Общий

В любом случае, разработка Стюарта Шехтера — самый нишевый продукт для заядлых пользователей и параноиков.

Сейчас на рынке существует множество приемлемых и безопасных решений.

В качестве примера можно вспомнить токены физического доступа, которые хорошо зарекомендовали себя в отрасли.

При этом сами менеджеры паролей достаточно безопасны: последний крупный взлом такого рода, по данным Google, произошел еще в 2015 году ( LastPass взломан ), что по отраслевым меркам произошло почти вечность назад. Затем хакеры украли массу связанных данных, включая адреса электронной почты учетной записи LastPass, напоминания паролей, записи сервера для каждого пользователя и хэши аутентификации.

Последний, по идее, может дать доступ к мастер-паролю учетной записи, что впоследствии открывает доступ к паролям, хранящимся в самом LastPass. Но надо помнить, что невзломаемых систем не существует, и пока что они в принципе невозможны: все, что изобретено, так или иначе можно взломать.

Взломать невозможно только то, что не оцифровано или не существует в физической форме.

Помните об этом и берегите свои данные.

В качестве рекламы

Серверы с NVMe - речь идет именно о виртуальных серверах от нашей компании.

Мы уже давно используем исключительно быстрые серверные диски Intel и Мы не экономим на оборудовании - только фирменное оборудование и самые современные решения на рынке оказания услуг.

Теги: #информационная безопасность #Разработка мобильных приложений #Криптография #шифрование #ключи #кубы #DiceKeys #изолированные системы