新技術(shù)“分裂”使密碼破解難度提升1400萬倍
密碼學(xué)家經(jīng)常用來保護(hù)秘密(比如密鑰)的一種方法就是將其分割成多個較小的份額,并將各個部分分配給各個不同的保管方,某些份額必須組合在一起才能完整地重建秘密。
現(xiàn)在,位于澳大利亞悉尼的非營利組織 Tide 的研究人員已經(jīng)開發(fā)出了一種類似的方法來保護(hù)用戶名和密碼,他們聲稱,與現(xiàn)有機(jī)制相比,新方法可以將密碼安全性提升 1400 萬倍。
Tide 開發(fā)的這種新方法叫做 “分裂” (splintering),涉及在認(rèn)證系統(tǒng)中采用加密密碼,將它們分成多個小塊,并將這些部分存儲在分散的分布式網(wǎng)絡(luò)中,可以根據(jù)需要重新組合它們。
根據(jù)該非盈利組織的說法,Tide 的新技術(shù)使得攻擊者通過逆向工程和其他技術(shù)進(jìn)行暴力密碼猜測攻擊來重構(gòu)密碼的實(shí)踐變得異常困難。
在使用早前泄露的 6000 萬個 LinkedIn 密碼進(jìn)行的測試活動中,Tide 工程師發(fā)現(xiàn),“splintering” 密碼技術(shù)使字典攻擊成功的機(jī)率從 100% 降低到了 0.00072%,安全性提升了大約 1410 萬倍。為了測試這種新技術(shù)的可靠性,該非營利組織還發(fā)起了一項挑戰(zhàn)活動,通過該活動向能夠破解用戶名和密碼的黑客提供比特幣獎勵。
據(jù)悉,Tide 將單個比特幣的詳細(xì)信息存儲在 “最簡單的網(wǎng)站設(shè)置中,存儲在 web 服務(wù)器后面的數(shù)據(jù)庫記錄中”,只要黑客能夠使用正確的用戶名和密碼進(jìn)入,就能夠成功獲取這些比特幣以及 “吹牛” 的權(quán)力。不過,到目前為止的 650 萬次嘗試中,還沒有任何一個黑客能夠破解出一個密碼。
目前,Tide 已經(jīng)在其 Tide 協(xié)議中實(shí)施了新的 “splintering” 技術(shù),Tide 協(xié)議是一組開源技術(shù),旨在幫助企業(yè)更好地保護(hù)數(shù)據(jù)。
Tide 聯(lián)合創(chuàng)始人 Yuval Hertzog 表示,在 Tide 協(xié)議中,加密密碼會被分裂并存儲在 Tide 公共區(qū)塊鏈上的 20 到 26 個節(jié)點(diǎn)之間。每個節(jié)點(diǎn)——Tide 協(xié)議中的密鑰協(xié)調(diào)控制器的任務(wù)是處理分配給它的 “碎片” (splinter),并在接收到請求時組裝 splinter。只有分配給 splinter 的節(jié)點(diǎn)才能解密它。
可配置的安全性
Hertzog 表示,每個加密密碼被分解成 splinter 的數(shù)量取決于組織所需的加密強(qiáng)度和冗余要求。最小數(shù)量是 20 個節(jié)點(diǎn)。這些參數(shù)是可配置的,允許用戶根據(jù)個人需求定制安全性和冗余。
Tide 方案的構(gòu)建方式使得即使存儲 splinter 的一個或多個節(jié)點(diǎn)由于某種原因變得不可用,也可以完全恢復(fù)分裂的密碼。事實(shí)上,該模型允許高達(dá) 30% 的冗余,這就意味著即使最多 6 個節(jié)點(diǎn)由于某種原因變得不可用,也可以完全重新組裝分裂的密碼,以進(jìn)行身份驗證。
那么在管理數(shù)百萬個密碼時,“splintering” 方法的可擴(kuò)展性又表現(xiàn)如何呢?Hertzog 表示,該方法的底層架構(gòu)是基于區(qū)塊鏈技術(shù)的改進(jìn)版本,該技術(shù)已被證明可以支持?jǐn)?shù)百萬用戶。Tide 協(xié)議下的具體實(shí)施已經(jīng)過負(fù)載測試,結(jié)果顯示其可在受控環(huán)境中擴(kuò)展至數(shù)百萬。
Tide 工程師已經(jīng)為每個身份驗證請求引入了一個特意內(nèi)置的 300 毫秒延遲,以緩解網(wǎng)絡(luò)上的暴力破解和拒絕服務(wù)攻擊 (denial-of-service,簡稱DoS)。但是即便如此,與分裂和重組密碼相關(guān)的延遲仍然要優(yōu)于現(xiàn)有常用的身份驗證提供程序。
在公開測試中,“端對端” 延遲結(jié)果顯示整個基于分裂的身份驗證過程只需要 1,500 毫秒到 4,000 毫秒,并且在 Microsoft Azure、Google 和 Amazon 網(wǎng)絡(luò)上提供完整的節(jié)點(diǎn)。“splintering” 技術(shù)可以以與任何現(xiàn)有OAuth2認(rèn)證方案幾乎相同的方式使用,并且可以集成到任何現(xiàn)有組織中。
Tide 開發(fā)的這種 “splintering” 方法目前尚未商業(yè)化。但是想要提前使用的組織可以在 GitHub 上找到該技術(shù)的代碼和文檔,它可以在特殊的 Tide 開源許可下獲得。
