Сверяя значение хеша с вычисленными ранее паролями, злоумышленники каждый раз будут получать неверный результат.
ИБ-эксперты разработали систему, которая существенно затруднит для хакеров процесс извлечения паролей из похищенных баз данных. Как сообщил один из разработчиков, докторант Университета Пердью Мохаммед Альмешеках (Mohammed H. Almeshekah), ErsatzPasswords обезопасит от злоумышленников, использующих брутфорс. Это значит, что хакеры по-прежнему смогут взломать файл, однако система будет «подсовывать» им неверные пароли.
Как правило, используемые организациями пароли хранятся в хешированном виде. Несмотря на то, что такой способ хранения является довольно надежным, приложив усилия, злоумышленники могут извлечь из хеша учетные данные в открытом виде. Брутфорс занимает довольно много времени и сил, поэтому для ускорения процесса хакеры используют специальные программы наподобие John the Ripper, которые предлагают списки похищенных ранее паролей, где хеш уже был вычислен. Эти списки пополняются ежедневно, а, поскольку пользователи обычно выбирают несложные учетные данные, работа злоумышленников существенно упрощается.
При создании пароля для сервисов в Linux перед шифрованием к хешу добавляется произвольное значение (соль). ErsatzPasswords добавляет еще один шаг. Перед шифрованием пароль проходит через функцию, сгенерированную, к примеру, аппаратным модулем безопасности. Добавленная характеристика позволяет получить пароль в открытом виде только в случае, если есть доступ к аппаратному модулю. В итоге, сверяя значение хеша с паролями из списка, злоумышленники каждый раз будут получать неверный результат.
Код ErsatzPasswords распространяется бесплатно под лицензией Apache и доступен на GitHub.