Bruker-ID og passord: Like viktig for tilgangssikkerhet

Er det på tide å tenke annerledes om påloggingsinformasjon på nettstedet? Tre forskere mener det og gir tankevekkende grunner til det.

-------------------------------------------------- -------------------------------------

For noen måneder siden møtte jeg Dr. Cormac Herley, hovedforsker hos Microsoft. Etter noen få interessante samtaler, skrev jeg en artikkel: "Har brukere rett i å avvise sikkerhetsråd." Målet mitt var å presentere Dr. Herleys argumenter for hvorfor brukere skulle avvise sikkerhetspraksis som er kostbar og ineffektiv.

Jeg snublet på et annet papir som Dr. Herley var forfatter med Dr. Dinei Florencio, en annen Microsoft-forsker og Dr. Baris Coskun, en forskningsassistent ved Polytechnic University. Jeg håpet at dette papiret ville være like provoserende som det forrige, og det var det.

"Fyller sterke nettpassord noe?" forsøker å forklare hva som er galt med gjeldende metodikk for bruker-ID-er og passord på nettstedet. Jeg vil presentere saken deres. Se om det resonerer med deg.

Hovedtrusler

Først og fremst er det veldig alvorlig tyveri av innloggingsinformasjon på nettstedet, spesielt for finansinstitusjoner. I den forbindelse anser papiret følgende for å være de viktigste metodene for å stjele informasjon om tilgang til nettsteder:

  • phishing
  • keylogging
  • Spesiell kunnskap eller tilgangsangrep (bruk kjent informasjon om bruker, skuldersurfing eller få tilgang til datamaskin)
  • Brute-force angrep på en individuell konto
  • Massevisende angrep på alle kontoer på nettstedet

Nåværende beste praksis

For å sikre at alle er på samme side, nevner papiret hva som i dag anses som passende passordadministrasjon:

  • Velg sterke passord
  • Endre passord ofte
  • Skriv aldri passord

Jobber ikke

Forskerne føler at dette rådet er utdatert. Passord "beste praksis" vil ikke beskytte innloggingsinformasjonen din mot phishing, keylogging eller spesialkunnskapsangrep. Jeg mistenker at de fleste var enige, men hva med angrep mot brute-force og gjetting?

Brute-force-angrep

Forfatterne føler gjetting og brute-force angrep er ineffektive. Det er fordi systemadministratorer blokkerer tilgang etter et spesifikt antall mislykkede påloggingsforsøk. De tilbyr følgende eksempel som bevis på hvor bra det fungerer:

"Hvis en bank bare tillater seks-sifrede PIN-koder (et relativt svakt passord) og låser en konto i 24 timer etter tre forsøk, kan en angriper søke 3 x 365 x 10 = 1e6 eller 1% av nøkkelområdet på 10 år. Forholdet mellom mislykket og vellykket pålogging ville dessuten være enormt og lett oppdaget. "

Det er sannsynligvis sant, men hva med nettsteder uten en utestengingspolicy?

Angrep om gjetting

Jeg må tilstå at gjetninger om masseinntekter aldri var på radaren min. Det burde de ha vært, mens de fungerer. Følgende eksempel fra papiret forklarer konseptet bak gjetninger i bulk:

"Anta at en bank har 10 millioner brukerkontoer på nettet. Hvis banken tillater sekssifrede PIN-koder, vil hver PIN-kode i gjennomsnitt bli brukt av 10 forskjellige brukere. I stedet for å søke i alle mulige passord for en gitt bruker-ID, kan en angriper søke i alle mulige bruker-ID for et gitt passord. 10 millioner forsøk vil gi 10 vellykkede pålogginger ved bruk av denne strategien. "

Forfatterne antyder også at denne tilnærmingen er mye stealthier:

"Når du angriper passordområdet til en enkelt bruker-ID, er det veldig vanskelig for angriperen å skjule forsøkene mellom brukerens faktiske innlogginger. Ved å spre angrepet over hele bruker-ID-plassen, endres imidlertid bildet: 10 millioner forsøk vil beløpe seg til bare en mislykket innlogging per konto. "

For noen virker ti vellykkede angrep trivielle når det er 10 millioner medlemmer. Det er med mindre du er en av de ti.

legitimasjon

Deretter ønsket forskerne å bestemme hvor mye digital informasjon som kreves for hver bruker-ID / passordkombinasjon. Det kan bli et betydelig beløp hvis multiplisert med 10 millioner som i eksemplet ovenfor:

"Banken i eksemplet har 10 millioner brukere på nettet, og hver bruker et 20-biters passord (en sekssifret PIN-kode). Banken har enkle bruker-ID-er. Kunder får tildelt påfølgende syv-sifrede numre. Dette er omtrent 23 biter. For å få inngang til et medlemskonto, må angriperen legge inn 43 biter. Vi ringer 43-biters bruker-ID-passordet sammen med bankens legitimasjon.

Så legitimasjonssøkerommet som den antatte angriperen bor i er 2 43 . Det er omtrent 2 23 gyldige kontoer, så angriperen kan forvente å bryte seg inn til en konto per 2 20 forsøk. "

Forskerne fant at å øke antallet biter som ble brukt for å skape individuell legitimasjon for å være et effektivt avskrekkende middel mot gjetteangrep. Forskningsteamet tilbyr følgende matematiske forhold som bevis.

  • Bu : Er størrelsen på bruker-ID i biter
  • Bp : Er størrelsen på passordet i biter
  • N : Variabel som representerer antall medlemmer

Følgende uttrykk representerer det totale legitimasjonsrommet en angriper i bulk-gjetting måtte søke:

2 B u + B p

Den neste ligningen representerer antall påkrevde forsøk per vellykket innbrudd:

(2 B u + B p ) / N

Fra det andre uttrykket kan man se at å øke størrelsen på bruker-ID eller passord eksponentielt øker antallet forsøk som kreves for å få en kamp.

Øk mengden bruker-ID-biter

Det anbefales ikke å øke antall passordbiter. Forskerne har allerede forklart hvordan å øke passordstørrelsen ikke reduserer risikoen for phishing, keylogging eller spesialkunnskapsangrep. Dessuten har brukere nok problemer med å huske enkle passord. Så hvorfor ikke øke størrelsen på bruker-ID i stedet? Dette vil oppnå de samme resultatene.

Å rote med antall biter i bruker-ID i stedet for passord har en annen stor fordel. Klar for dette, bruker-IDene trenger ikke å holdes hemmelige. Bruker-IDen kan vises for alle å se. En nettkriminell ville være hardt presset for å samle alles bruker-ID fra klistremerker festet til skjermer.

Forskerteamet har en bekymring: At angripere kan få fullstendige lister fra institusjonens database. Forskerne legger til grunn antagelsen (en logisk, men likevel en antakelse) om at bruker-ID-lister er tungt bevoktet. Hvis en liste noen gang ble offentlig, kan den virksomheten holdes som gisler under trusselen om et angrep på Denial of Service ved å bruke listen over bruker-ID og dårlige passord.

Papirets konklusjoner

Avslutningsvis tilbyr forskerteamet to løsninger, en for store institusjoner og en for små institusjoner:

  • Store institusjoner : Bruk korte, enkle passord med lengre bruker-ID. Hvis du gjør det, reduseres sjansen for et vellykket angrep på innloggingsinformasjon og gjør det enklere for brukeren.
  • Små institusjoner : Cybercriminals ville ikke gjennomgå all innsatsen for et stort gjetteangrep med så få brukere. Når det er sagt, konkluderer papiret med enkle, korte passord vil fungere så lenge det er en utelukkingspolicy for mislykket innlogging.

Siste tanker

Jeg har nå et annet syn på brukerpåloggingsinformasjon, etter å ha lest begge papirene. Konseptet er interessant, men likevel vil noen finne forskningen kontroversiell. Det virker som om Dr. Herley ikke er ferdig ennå. I en nylig e-post omtalte han et annet papir som han medforfatter:

"Den nye artikkelen forklarer en måte å finne ut hvilke passord som er for populære i en stor befolkning. Vi tror at det er en bedre tilnærming å forby de som blir for populære, enn å tvinge brukere til å oppfylle kravene til passordkompleksitet."

Så vær vennlig å holde kontakten.

© Copyright 2020 | mobilegn.com