Проект Midnight: консольный файловый менеджер - Project Midnight: the manager of passwords without the manager of passwords
Разработчик jaseg с сайта Github опубликовал элегантный алгоритм создании уникальных паролей для каждого сайта, и с первого взгляда этот алгоритм выглядит весьма надёжным. Автор даже предложил тому, кто первым найдёт уязвимость, назвать алгоритм в его честь.
Итак, суть в том, что эксклюзивный пароль генерируется командой в шелле:
(sha512sum ~/.salt -<<
I-е 32 знака из результата sha512sum и являются уникальным паролем, который генерируется на основе 3-х исходных данных: файл с солью, URL сайта и мастер-пароль.
Самое замечательное, что всегда, когда вы вводите эту команду, она возвращает одинаковый пароль, при условии, что файл с солью остаётся неизменным, URL остаётся тем же наиболее, и вы не позабыли мастер-пароль. Так, основное преимущество алгоритма в том, что пароли нигде физически не хранятся, они непрерывно регенерируются.
Если вам необходимо ввести пароль для определённого сайта, то просто снова запускаете эту команду с указанием нужного URL.
В качестве соли возможно применять любой файл, или сгенерировать отдельный файл с использованием случайных данных:
(dmesg;env;head -c16 /dev/random)|sha512sum>>~/.salt; chmod 400 ~/.salt
Получатся, что если злоумышленник получит доступ к вашему компьютеру, то он получит доступ лишь к файлу с солью. Естественно, зная соль и зная несколько паролей с различных сайтов, злоумышленник получает в распоряжение 2 из 3-х половинок "головоломки". Теоретически он может восстановить мастер-пароль по этой информации, однако на практике функция SHA-512 обеспечивает весьма достаточную защиту против подобного брутфорса (кстати, кто заявил, что все менеджеры паролей применяют разную соль для каждого пароля?). Более того, сперва злоумышленник должен получить пароли с некоторого количества сайтов, что само по себе нетривиальная задача.
К слову, похожим способом генерирует пароли стэнфордская программа PWDHASH, реализованная в виде плагина к браузеру.
The developer jaseg from site Github has published elegant algorithm of generation of unique passwords for each site, and at first sight this algorithm looks quite reliable. The author even has offered the one who will find the first vulnerability, to name algorithm in its honour.
So, an essence that the unique password is generated by a command in a shell:
(sha512sum ~/.salt - <<> ~/.salt; chmod 400 ~/.salt
Will turn out that if the malefactor will get access to your computer it will get access only to a file with salt. Certainly, knowing salt and knowing some passwords from different sites, the malefactor receives in the order two of three parts of "puzzle". Theoretically it can restore the master password under this information, but in practice function SHA-512 provides quite sufficient protection against such брутфорса (by the way who has told, what all managers of passwords use different salt for each password?). Besides, to begin with the malefactor should receive passwords from several sites that in itself not trivial problem.
By the way, in the similar way program PwdHash realised in the form of a plug-in to the browser generates passwords стэнфордская.
Теги: взлом,хакеры,кракозябр,krakoziaber,безопасность,защита информации, антивирус,антихакер,хакатак,ddos,эксплойт
Интересное решение.....
ОтветитьУдалить