1Password von AgileBits ist ein unglaubliches Tool, um Ihre Daten zu schützen. 1Password ist mehr als nur ein Passwort-Manager, mit dem Sie eine Vielzahl von Daten verschlüsseln und organisieren können (Website-Passwörter, digitale Konten, Kredit-/Debitkartennummern und Finanzkontodetails, Softwarelizenzen und Dateien mit vertraulichen Information.
Diese Funktionen sind alle schön und gut, aber das größte Merkmal ist die Fähigkeit von 1Password, all diese Daten angesichts von Sicherheitsrisiken zu schützen Brute-Force-Angriffe – die Art von Angriffen, bei denen eine Software einfach eine Kombination nach der anderen versucht Passwörter. Software zum Knacken von Kennwörtern, die auf solchen Angriffen beruht, kann leicht Tausende potenzieller Kennwörter pro Sekunde ausprobieren.
Um herauszufinden, ob 1Password solchen Angriffen standhält oder nicht, hat AgileBits ein 1Password gegen John the Ripper, eines der bekanntesten Tools zum Knacken von Passwörtern, getestet.
AgileBits hat kürzlich einen Großteil der
Recherche und Hintergrundinformationen auf seinem Blog, einschließlich der Tatsache, dass John the Ripper und andere Tools zum Knacken von Passwörtern fein abgestimmt werden können, um bestimmte Verschlüsselungstools wie 1Password anzugreifen.Das Schlüsselkonzept hier ist, dass diese Tools das Master-Passwort angreifen, das Benutzer bei der Konfiguration von 1Password festlegen. Das Durchbrechen der Verschlüsselungsmechanismen und das Entschlüsseln von Daten ist keine praktikable Angriffsoption gegen High-Level-Verschlüsselungstechnologie, wie sie von 1Password oder Apple verwendet wird Datentresor. Die primäre Schwachstelle in sicheren Systemen wie 1Password sind die Anmeldeinformationen, die es dem Eigentümer (oder autorisierten Personen) der Daten ermöglichen, das System zu entsperren. Im Fall von 1Password bedeutet dies das Master-Passwort (in anderen Systemen könnte es Benutzerkonto und Passwort sein, zwei Faktoren Authentifizierung, die ein physisches oder Daten-Token beinhaltet, das mit einem Passwort präsentiert werden muss, oder sogar biometrische Daten wie a Fingerabdruck).
Es ist dieser Einstiegspunkt, gegen den AgileBits John the Ripper getestet und untersucht hat. Letztendlich wird John the Ripper, wenn er genügend Zeit hat, jedes Master-Passwort knacken. Das Beste, was 1Password tun kann, ist, komplexe Berechnungen in das System einzubauen – Berechnungen, die bei jedem Passwortversuch durchgeführt werden müssen. Das klingt vielleicht nicht nach viel, aber es funktioniert – vorausgesetzt, das Master-Passwort ist lang genug und zufällig genug.
Beides sind wichtige Teile der Lösung. Je länger das Passwort, desto mehr Schätzungen muss ein Cracking-Tool machen, um das richtige Passwort zu erhalten. Wenn Sie Tausende oder Zehntausende komplexer Berechnungen überlagern, die für jede Schätzung durchgeführt werden müssen, wird es plausibel, den Angriff zu stoppen – oder mehr Verlangsamen Sie den Punkt des effektiven Stoppens genau, indem Sie das Cracking-Tool Tage, Wochen, Jahre, Jahrhunderte oder sogar Jahrtausende benötigen, bevor jede mögliche Kombination verwendet wird wird versucht.
Um dieses Konzept auf den täglichen Gebrauch anzuwenden, schlägt AgileBits vor, dass Sie Mehrwort-Passwörter verwenden und die Wörter sind wirklich zufällig (Würfel zu würfeln, um Wörter auszuwählen, ist wirklich zufällig, was auf das Unternehmen hindeutet) macht). Wie Sie auf dem unten stehenden Tablet sehen können, würden Passwörter mit sieben Wörtern Billionen von Jahren dauern. Sogar ein Passwort mit vier Wörtern würde ausreichen, da es Jahrzehnte oder Jahrhunderte dauern würde, um es zu knacken.
Quelle: AgileBits
Bild: AgileBits