Dongle soll Passwort-Datenbanken besser schützen
Dabei liegen die Kennungen nur bei den unvorsichtigsten Anbietern im Klartext vor, sondern sind in der Regel als Hashes kodiert. Doch auch diese bieten keine komplette Sicherheit. Wenn die Hash-Werte nicht noch zusätzlich gesichert sind, genügt es beispielsweise die am häufigsten auftretenden herauszusuchen. So kommt man beispielsweise schnell an alle Accounts, die mit dem Passwort "123456" geschützt sind - und dies sind nicht gerade wenige. Auch viele andere einfache Kombinationen kommen immer wieder vor.
An der University of Cambridge hat man daher nun ein System entwickelt, das eine weitere Sicherheits-Stufe auf die Passwörter legen soll. Dabei kommt eine Methode namens Hash-Based Message Authentication Code (HMAC) zum Einsatz. Vereinfacht gesagt, werden die Hashes der Passwörter dabei noch einmal verschlüsselt.
Der hierbei eingesetzte Key liegt allerdings nicht auf dem gleichen Server oder gar in der selben Datenbank. Statt dessen verbirgt man diesen in einem separaten Dongle, der auf dem Mini-Rechner Raspberry Pi basiert. Sollte es einem Angreifer also gelingen, in einen Server einzudringen, hat er weiterhin keinen Zugang zu dem Schlüssel, mit dem er an die eigentlichen Hashes kommt. Ein relativ simpler Abgleich von Werten führt so nicht zum Ergebnis. Und auch das Durchprobieren bei jedem einzelnen Passwort, was bei Salted Hashes letztlich zum Erfolg führen kann, ist nicht möglich.
Der Nachteil des Verfahrens besteht allerdings darin, dass die Leistungsfähigkeit des Dongles begrenzt ist. Eines der jetzt fertiggestellten Systeme kann rund 330 Passwörter pro Minute authentifizieren. Dies ist bei vergleichsweise kleinen Webseiten völlig ausreichend. Steigen die Nutzerzahlen, können mehrere Dongles im Cluster verwendet werden. Um Webseiten absichern zu können, die täglich mehrere Millionen registrierte Besucher bedienen und damit am ehesten ein interessantes Angriffsziel darstellen, sind allerdings noch einige Optimierungen notwendig.
Thema:
Beliebte Downloads
Jetzt als Amazon Blitzangebot
Ab 07:20 Uhr Doqaus Bluetooth Kopfhörer Over Ear
Original Amazon-Preis
38,99 €
Im Preisvergleich ab
43,99 €
Blitzangebot-Preis
34,99 €
Ersparnis zu Amazon 10% oder 4 €
Neue Nachrichten
Beliebte Nachrichten
Videos
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
Meist kommentierte Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen