Identyfikatory
Warianty tytułu
Password protection in IT systems
Języki publikacji
Abstrakty
Celem artykułu jest usystematyzowanie metod zabezpieczania statycznych haseł przechowywanych na potrzeby systemów informatycznych, w szczególności serwisów internetowych, wskazanie słabych stron zaprezentowanych metod oraz wyciągnięcie wniosków w postaci zaleceń dla projektantów systemów informatycznych. Na wstępie przedstawiono pojęcie kryptograficznej funkcji skrótu, a następnie omówiono kolejne metody przechowywania haseł, pokazując ich ewolucję oraz podatności na współczesne ataki. Pokazano wyniki badań nad hasłami maskowanymi w polskich bankach oraz przedstawiono najciekawsze przykłady współczesnych funkcji adaptacyjnych. Następnie dokonano autorskiej systematyzacji metod zabezpieczania haseł oraz wskazano kierunki dalszych badań.
The aim of the article is to systematise the methods of securing static passwords stored in IT systems. Pros and cons of those methods are presented and conclusions as a recommendation for IT system designers are proposed. At the beginning, the concept of cryptographic hash function is presented, following discussion of methods of storing passwords showing their evolution and susceptibility to modern attacks. Results of research on masked passwords of Polish banks IT systems are presented, as well as the most interesting examples of adaptive password functions are given. Then, the systematisation of password protection methods was carried out. Finally, the directions for further research are indicated.
Czasopismo
Rocznik
Tom
Strony
73--92
Opis fizyczny
Bibliogr. 43 poz., rys., tab.
Twórcy
autor
- Akademia Marynarki Wojennej, Wydział Nawigacji i Uzbrojenia Okrętowego, Instytut Uzbrojenia Okrętowego i Informatyki, ul. Śmidowicza 69, 81-103 Gdynia
autor
- Akademia Sztuki Wojennej, Wydział Wojskowy, Instytut Działań Informacyjnych, al. gen. A. Chruściela 103, 00-910 Warszawa
Bibliografia
- [1] www.wired.com/2012/01/computer-password/ [dostęp 30.11.2017].
- [2] www.uber.com/newsroom/2016-data-incident/ [dostęp 30.11.2017].
- [3] www.hydraze.org/2015/08/ashley-madison-full-dump-has-finally-leaked/ [30.11.2017].
- [4] www.reddit.com/r/hacking/comments/2n9zhv/ [dostęp 30.11.2017].
- [5] www.niebezpiecznik.pl/post/wlamanie-na-serwery-panstwowej-komisji-wyborczej-wykradzionohashe-hasel-i-klucze-urzednikow/ [dostęp 30.11.2017].
- [6] www.niebezpiecznik.pl/post/gielda-papierow-wartosciowych-zhackowana/ [30.11.2017].
- [7] www.niebezpiecznik.pl/post/wyciek-7-milionow-hasel-do-dropboxa/ [dostęp 30.11.2017].
- [8] www.cnn.com/2012/07/12/tech/web/yahoo-users-hacked [dostęp 30.11.2017].
- [9] Wang X., Feng D., Lai X., Yu H., Collisions for Hash Functions MD4, MD5, HAVAL-128 and RIPEMD, Cryptology ePrint Archive, 2004, online: http://eprint.iacr.org/ 2004/199.
- [10] Stevens M., Bursztein E., Karpman P., Albertini A., Markov Y., Bianco A.P., Baisse C., Announcing the first SHA1 collision, Google Security Blog, 2017, online: https://security.googleblog.com/2017/02/announcing-first-sha1-collision.html
- [11] www.sagitta.pw/hardware/ [dostęp 30.11.2017].
- [12] www.gist.github.com/epixoip/a83d38f412b4737e99bbef804a270c40 [dostęp 30.11.2017].
- [13] www.vigilante.pw [dostęp 30.11.2017].
- [14] Kenan K., Kryptografia w bazach danych. Ostatnia linia obrony, Wydawnictwo Mikom, 2007.
- [15] Hellman M.E., A cryptanalytic time-memory trade-off, IEEE Transactions on Information Theory, vol. 26, no. 4, 1980, 401-406.
- [16] Oechslin P., Making a faster Cryptanalytic Time-Memory Trade-Off, Advances in Cryptology - CRYPTO 2003, LNCS 2729, Springer-Verlag, 2003, online: lasec.epfl.ch/pub/lasec/doc/oech03. Pdf.
- [17] www.ophcrack.sourceforge.net [dostęp 30.11.2017].
- [18] www.project-rainbowcrack.com/table.htm [dostęp 30.11.2017].
- [19] www.shop.bitmain.com/antminer_s9_asic_bitcoin_miner.htm [dostęp 30.11.2017].
- [20] Morris R., Thompson K., Password Security: A Case History, Communications of the ACM, 22(11), 1979, pp. 594-597, online: http://www.cs.unibo.it/~sacerdot/doc/papers/Morris-PasswordSecurity. Pdf.
- [21] Manber U., A simple scheme to make passwords based on one-way functions much harder to crack, Computers & Security, 15(2), 1996, 171-176.
- [22] www.rodwald.pl/blog/314/polityka-hasel-pekao24-pl [dostęp 30.11.2017].
- [23] www.rodwald.pl/blog/316/polityka-hasel-aliorbank-pl [dostęp 30.11.2017].
- [24] www.prnews.pl/raporty/raport-rynek-bankowosci-6553183.html [dostęp 30.11.2017].
- [25] www.rodwald.pl/blog/550/hasla-maskowane-w-polskich-bankach [dostęp 30.11.2017].
- [26] Provos N., Mazières D., A Future-Adaptable Password Scheme. Proceedings of 1999 USENIX Annual Technical Conference, online: https://www.usenix.org/event/usenix99/provos/provos. Pdf.
- [27] Kaliski B., PKCS #5: Password-based cryptography specification, version 2.0, IETF Network Working Group, RFC 2898, 2000.
- [28] https://tools.ietf.org/html/rfc2104 [dostęp 30.11.2017].
- [29] Percival C., Stronger Key Derivation via Sequential Memory-Hard Functions, BSDCan, 2009, online: https://www.tarsnap.com/scrypt/
- [30] https://tools.ietf.org/html/rfc7914 [dostęp 30.11.2017].
- [31] www.password-hashing.net/index.html [dostęp 30.11.2017].
- [32] Biryukov A., Dinu D., Khovratovich D., Version 1.2 of Argon2, https://password-hashing.net/submissions/specs/Argon-v3.pdf, 2015.
- [33] https://tools.ietf.org/html/rfc7693 [dostęp 30.11.2017].
- [34] www.csrc.nist.gov/projects/hash-functions/sha-3-project [dostęp 30.11.2017].
- [35] Boneh D., Henry Corrigan-Gibbs H., Schechter S., Balloon Hashing: A Memory-Hard Function Providing Provable Protection Against Sequential Attacks, https://eprint.iacr.org/2016/027. pdf, 2016.
- [36] Peslyak A., yescrypt: large-scale password hashing, BSides Ljubljana, 2017, online: https://bsidesljubljana.si/yescrypt-large-scale-password-hashing-alexander-peslyak
- [37] https://pages.nist.gov/800-63-3/sp800-63b.html [dostęp 30.11.2017].
- [38] www.openssl.org/~bodo/ssl-poodle.pdf [dostęp 30.11.2017].
- [39] www.centermast.files.wordpress.com/2017/03/hashingalgo.png [dostęp 30.11.2017].
- [40] www.mathstat.dal.ca/~selinger/md5collision [dostęp 30.11.2017].
- [41] natmchugh.blogspot.com/2015/02/create-your-own-md5-collisions.html [30.11.2017].
- [42] www.mathstat.dal.ca/~selinger/md5collision [dostęp 30.11.2017].
- [43] www.win.tue.nl/hashclash/Nostradamus [dostęp 30.11.2017].
Uwagi
Opracowanie rekordu w ramach umowy 509/P-DUN/2018 ze środków MNiSW przeznaczonych na działalność upowszechniającą naukę (2018).
Typ dokumentu
Bibliografia
Identyfikator YADDA
bwmeta1.element.baztech-6b92dd05-3761-4e22-bcd4-b6dee57373a0