E assim, teve uma pessoa que se ofereceu para gerar um banco de dados para criar uma senha literalmente com as próprias mãos, sem a participação de software. Apenas aleatório absoluto, movido pela gravidade.

O nome do homem é Stuart Schechter, e ele é um cientista da computação na Universidade da Califórnia, Berkeley. Apesar dos algoritmos cada vez mais complexos e da utilização de cada vez mais métodos novos para gerar cifras e senhas, Schechter propôs uma forma extremamente elegante em sua simplicidade de gerar uma base de caracteres para a posterior criação de uma senha mestra. O cientista criou um conjunto de 25 ossos hexagonais, na borda de cada um há um par de um número aleatório e uma letra do alfabeto latino. Ele nomeou sua criação de forma tão simples quanto a própria ideia parece - "DiceKeys".
O cientista sugere o seguinte procedimento.
Você pega um conjunto de 25 ossos e uma caixa especial de armazenamento. Sacuda os ossos, despeje-os na caixa e ajude todos os nós dos dedos com as mãos a se deitarem em células especiais do corpo. É isso, a base da sua senha está pronta!
Como isso funciona é demonstrado pelo próprio Schechter no vídeo abaixo:
Após o lançamento, propõe-se escanear o resultado obtido com um aplicativo especial para smartphone, que criará uma senha mestra a partir dos dados recebidos. E voila, você é linda.
O conjunto inclui uma caixa para cubos, os próprios cubos e uma bolsa aleatória (para usuários com mãos grandes, provavelmente um acessório opcional).
Por que a solução de Schechter parece extremamente interessante para nós no contexto da geração aleatória de senhas de 128, 196 ou 256 bits no mesmo KeePass ou em outro gerenciador?
Primeiro, uma senha gerada por máquina nunca será completamente aleatória, porque não existe um randomizador de software absoluto.
Segundo:a senha pode "deixar" você mesmo no processo de gerá-la na máquina (afinal, você costuma gerar uma senha onde vai usá-la), o que significa que ela ficará comprometida mesmo na decolagem.
Terceiro: para proteger não apenas a senha de invasores, mas também o próprio princípio de sua geração, precisamos de outra senha ou uma máquina isolada (que é o próximo nível de paranóia), então aqui nos encontramos em um círculo vicioso de senhas criptograficamente fortes.
É importante ressaltar que o próprio Schechter enfatiza que o aplicativo do smartphone não interage de forma alguma com o mundo exterior e geralmente fica "silencioso" no ar. E, o mais importante, o conjunto de cubos na caixa, além da base para geração da senha, também atua como um backup dessa própria senha mestra: quando a combinação fixa for digitalizada novamente, o aplicativo no mesmo dispositivo irá restaurar a senha gerada anteriormente para você.
Portanto, um cientista de Berkeley, ao retirar o processo de geração de um banco de dados para uma senha off-line, cobre simultaneamente três pontos fracos anteriormente expressos no processo de criação de uma senha mestra:
- seu randomizador é verdadeiramente aleatório e não é baseado em algoritmos;
- 2128 , -, , ;
- , ( , , - ).
O último ponto, sobre o isolamento do sistema, é provavelmente o mais importante. Vamos ativar o modo de paranóia máxima, torcer nossos chapéus de alumínio e imaginar que um intruso está observando cada passo nosso.
Como resultado, os métodos usuais e já implementados de coleta de dados aleatórios para a geração de uma senha, por exemplo, coleta de dados de janela de clique para acumular dados pseudoaleatórios de alguns geradores de senha que analisam a atividade em uma máquina em segundo plano - não parecem mais tão seguros.
O isolamento da vulnerabilidade do sistema é geralmente a pedra angular da segurança da informação. Alguns especialistas geralmente dizem que "se você não deseja que seus dados sejam roubados, não os armazene digitalmente / em uma máquina com acesso à rede". Aparentemente, foi esse aspecto que foi orientado por Schechter ao elaborar o conceito de suas cubas-chaves.
Seu sistema é vulnerável apenas à engenharia social se considerarmos a opção de usar um smartphone isolado como plataforma de geração de uma senha mestra. Mas mesmo no caso de contato físico entre um invasor e o dono do DiceKeys, um número incrível de condições deve ser atendido.
Portanto, um hacker precisa saber que precisa de um conjunto de ossos. Além do kit, para regenerar a senha, ele também precisará do dispositivo a partir do qual a chave mestra foi gerada. E ele terá que conseguir tudo fisicamente.
Ao mesmo tempo, hackear até mesmo por engenharia social torna-se impossível se o usuário destruir a combinação de cubos , ou seja, cortar a possibilidade de regenerar sua senha mestra. Assim, para roubar a senha, permanecerá apenas o método do "ferro de soldar", desde que a pessoa se lembre da senha.
Crítica
Mas o método proposto por Stuart Schechter também tem pontos fracos. O DiceKyes agora pode ser testado no site dicekeys.app , que simula lançamentos de dados e verifica conjuntos reais. O site é usado até que o aplicativo móvel esteja pronto.
A maioria das questões surgem sobre o resultado final da geração - é relativamente significativo e baseado em letras minúsculas. Aparentemente, a senha final é formada de acordo com o dicionário de inglês, para que a senha mestra tenha pelo menos algum significado, ou seja, é lembrada por um usuário comum.
Aqui estão várias opções que o autor recebeu para diferentes aplicativos no mesmo conjunto de faces:
1Password: music booth owls cause tweed mutts lance halve foyer sway suave woven item
Authy: dudes acre nifty yoyo sixth plugs relic exert sugar aged chili human alarm
Facebook: delta had aids pox visa perm spied folic crop cameo old aged smite
Todas essas senhas não contêm caracteres especiais, números ou maiúsculas e minúsculas, embora sejam longos o suficiente para tornar impossível a inicialização forçada de tal combinação.
Nesse caso, você sempre pode ir mais longe e conduzir as palavras recebidas por outro "gerador" ou traduzi-las para a codificação hexadecimal. Na verdade, existem muitas opções.
Total
Em qualquer caso, o desenvolvimento de Stuart Schechter é o produto mais especializado para usuários hardcore e paranóicos. Existem muitas soluções aceitáveis e seguras no mercado agora. Por exemplo, você pode pensar em tokens de acesso físico que funcionaram bem no setor.
Ao mesmo tempo, os próprios gerenciadores de senhas são bastante seguros: o último grande hack desse tipo, de acordo com o Google, ocorreu já em 2015 ( hackeado LastPass), que pelos padrões da indústria ocorre há quase uma eternidade. Em seguida, os hackers roubaram uma tonelada de dados relacionados, incluindo os endereços de e-mail da conta LastPass, lembretes de senha, registros do servidor para cada usuário e hashes de autenticação. Este último, em teoria, poderia dar acesso à senha mestra da conta, o que abre ainda mais o acesso às senhas armazenadas no próprio LastPass.
Mas é preciso lembrar que não existem sistemas inquebráveis e, embora sejam, em conceito, impossíveis: tudo o que foi inventado pode ser hackeado de uma forma ou de outra. Somente o que não é digitalizado ou não existe no desempenho físico não é hackeado.
Lembre-se disso e cuide de seus dados.
Publicidade
Servidores com NVMe são servidores virtuais de nossa empresa.
Há muito tempo usamos exclusivamente drives para servidores rápidos da Intel e não economizamos em hardware - apenas equipamentos de marca e as soluções mais modernas do mercado para prestação de serviços.
