Perché gli utenti Web usano ancora password manglers sebbene la password sia inviata in ciphertext

0

Esistono molte varianti di password manglers. Un esempio potrebbe essere

Hash( user password + secret key + domain site )

Durante l'autenticazione di accesso al sito Web, le password vengono inviate in ciphertext dalla macchina client alla macchina host tramite il protocollo SSL / TLS.

La password è già stata crittografata, non vedo alcun beneficio nel troncare la password crittografata una seconda volta, cosa mi manca?

    
posta Computernerd 23.12.2014 - 05:18
fonte

2 risposte

1

È possibile che tu stia interpretando erroneamente una delle varianti.

Una variante utile, nota come Challenge / Response, è che l'accesso al sito web, invece di chiedere all'utente una password, invia un nonce (un numero usato una volta, cioè un caso casuale numero) per l'utente. L'utente risponde quindi con Hash (password utente + nonce + qualsiasi altra informazione del sito web).

Il sito web esegue lo stesso calcolo e confronta il suo hash calcolato con l'hash restituito dal client. Una corrispondenza dimostra che il client conosce la password, senza mai dover inviare la password stessa.

Certo, la comunicazione è crittografata, ma la sicurezza dovrebbe essere pensata come una cipolla. Più sono gli strati più difficile sarà crack, ma solo se non sei sciatto su alcuni livelli, considerando che gli altri livelli porteranno il carico. Anche se sai che sei su un canale "sicuro", parla come se pensassi che potrebbe non essere sicuro. Anche su un canale criptato, non inviare la password è più sicuro che inviarlo.

    
risposta data 23.12.2014 - 05:35
fonte
1

Innanzitutto, la password non viene prelevata nettamente solo perché è stata inviata tramite il filo. È una buona pratica farlo, ma anche aziende IT come Adobe sono state catturate con l'archiviazione delle password in modo reversibile.

I mangler delle password sono un modo per garantire che le password di ogni sito Web siano uniche. Come quando un utente malintenzionato ottiene il controllo su un sito web per un tempo sufficientemente lungo, e può catturare la password mentre non è ancora presente, o quando un sito web salva gli hash in testo in chiaro, può ottenere la password e se la riutilizzi, essi otterrebbe l'accesso anche ad altri tuoi accessi.

Una soluzione a questo problema potrebbe essere creare manualmente password univoche per ogni sito web . Tuttavia, dovresti ricordare molte password .

Ora potresti pensare "a proposito di come utilizzare una password principale complessa e quindi aggiungere il nome del sito web ?" Tuttavia, non ti proteggerà da nessuno di questi attacchi, poiché l'hacker ottiene la password in chiaro e può probabilmente indovinare il nome del sito web e provare il tuo metodo con altri siti web.

I mangler di password fanno esattamente lo stesso di sopra, ma prima di inviare la password lo inviano tramite una funzione a senso unico, come un hash. Ora l'autore dell'attacco deve interrompere l'hash per modificare la parte del sito Web e accedere ad altri siti.

Il grande svantaggio dei manglers delle password rispetto ai gestori di password è che l'hacker può bloccare l'hash. Se la tua password è debole, possono romperla e possono usare gli attacchi offline una volta recuperato l'hash "plaintext". Le chiavi segrete possono risolvere questo problema, ma devi anche prenderti cura di quel file chiave e perdi uno dei grandi vantaggi dei mangler password rispetto ai gestori di password: devi solo occuparti della tua password e puoi effettuare il login da qualsiasi nuova installazione di Gestione password senza dover eseguire l'accoppiamento o la copia delle chiavi.

Per rispondere alla tua domanda:

I manglers delle password risolvono un altro problema rispetto a TLS: TLS si occupa di proteggere la connessione al server, i mangler delle password cercano di proteggere la password dal server, che altrimenti verrebbe inviata al server in chiaro.

    
risposta data 23.12.2014 - 06:24
fonte

Leggi altre domande sui tag