Kredit:CC0 Public Domain
Varje år delar datasäkerhetsföretag med sig av sina resultat angående lösenord och dataintrång. Igen och igen, de varnar datoranvändare att använda komplexa lösenord och att inte använda samma lösenord för olika konton. Och, än, dataintrång och andra källor visar att för många människor använder samma enkla lösenord upprepade gånger och att vissa av dessa lösenord är löjligt enkla, Ordet "lösenord" eller siffran "123456" är verkligen inte ett lösenord alls med tanke på den minst sofistikerade programvaran för hackning och crackning som är tillgänglig för skadliga tredje parter nuförtiden.
Tröghet är ett viktigt problem:det är svårt att få användare, satt i deras vägar, att ändra sina gamla, lätt att komma ihåg lösenord till komplexa, svårt att komma ihåg koder. Det är ännu svårare att få sådana användare att använda lösenordshanterare eller multifaktorautentisering, vilket skulle lägga till ytterligare ett lager av säkerhet till deras inloggningar.
Nu, skriver i International Journal of Information and Computer Security, Jaryn Shen och Qingkai Zeng från State Key Laboratory for Novel Software Technology, och Institutionen för datavetenskap och teknik, vid Nanjings universitet, Kina, har föreslagit ett nytt paradigm för lösenordsskydd. Deras tillvägagångssätt adresserar online- och offlineattacker mot lösenord utan att öka ansträngningen som krävs av en användare för att välja och memorera sina lösenord.
"Lösenord är den första säkerhetsbarriären för webbtjänster online. Så länge som angripare stjäl och knäcker användarnas lösenord, de får och kontrollerar användarnas personliga information. Det är inte bara ett intrång i privatlivet. Det kan också leda till allvarligare konsekvenser som dataskador, ekonomisk förlust och kriminell verksamhet, " skriver laget.
Deras tillvägagångssätt innebär att ha ett inloggningssystem baserat på två servrar istället för en. Användaren har en kort, minnesvärt lösenord för att komma åt deras längre, datorgenererade "hashade" lösenord på en annan server, nyckeln till att "avhasha" de längre lösenorden lagras på den andra servern, men det faktiska lösenordet lagras också på användarens enhet och därför fungerar det minnesvärda lösenordet som en token för tvåfaktorsautentisering. Tillvägagångssättet innebär att angripare med även de mest sofistikerade hackverktygen inte kan tillämpa en offlineordbok och brute-force-attacker effektivt.