![]() |
![]() ![]() ![]() ![]() | ![]() |
![]() |
![]() ![]() ![]() |
![]() |
начало | ![]() |
![]() |
|
![]() |
![]() ![]()
|
![]() |
![]() |
Группа специалистов по шифрованию из Национального института стандартов и технологий США (National Institute of Standards and Technology) объявила открытый конкурс на новый хэш алгоритм для паролей на веб-сайтах с целью затруднить хакерам задачи взлома онлайновых баз данных (хэш-кодирование или хэширование означает способ обеспечения ключевого доступа к элементам данных; каждый элемент данных хранится с соответствующим ключом, который обрабатывается при помощи хэш-функции; в настоящее время практически ни одно приложение криптографии не обходится без использования хэширования). Организаторы конкурса открыли специальный сайт, куда можно направлять свои идеи https://password-hashing.net/index.html. Сайт доступен до 31 января 2014 года. Здесь можно ознакомиться с техническим руководством, разъяснениями, по каким критериям оценивается каждый проект. Призов и премий не предусмотрено. Национальный институт стандартов и технологий – головная в США организация по утверждению и контролю за стандартами шифрования и хэш алгоритмов. Последние предназначены для разбивки простых текстовых паролей на группы букв и цифр, что создает трудности для хакерских попыток проникнуть в онлайновые базы данных. В числе наиболее распространенных сегодня алгоритмов – SHA (Secure Hash Algorithm), разработанный правительственной организацией U.S. National Security Agency. Этот алгоритмический стандарт имеет различное практическое применение, но малопригоден для шифровки паролей на веб-сайтах. Вопрос скорости и времени. Чем быстрее хэшируется (а, следовательно, и дешифруется) пароль, тем легче хакеру овладеть им. И наоборот, чем протяженнее во времени процесс дешифровки, тем сложнее его разгадать. Поэтому организаторы конкурса, формулируя свои задачи, упирают на то, что новый стандарт паролей должен замедлить процесс входа в веб-сайт (онлайновые базы данных), но не настолько, чтобы пользователь нервничал от слишком долгого ожидания. В этом заключается определенное противоречие, замечает один из членов жюри конкурса, специалист из Швейцарии Жан-Филипп Омассон: «С точки зрения безопасности, чем медленнее процесс, тем лучше. С точки зрения пользователей, чем быстрее, тем лучше. Необходимо найти правильный баланс между этими противоположными условиями» (Chief Security Officer, February 15, 2013). Хотя хэш алгоритм SHA известен и используется уже многие годы, хэширование паролей на веб-сайтах и мобильных дивайсах – нечто новое, и здесь для ученых и специалистов в области шифрования – целина открытий. Отставание технологий шифрования позволяет хакерам проводить успешные атаки. Так, например, им удалось в прошлом году взломать защиту социальной сети LinkedIn, и миллионы хэшированных паролей были украдены, расшифрованы и размещены на русском форуме хакеров. Надеясь на появление продвинутых технологий шифрования паролей на веб-сайтах и мобильных носителях информации, организаторы конкурса, однако, не рассчитывают, что это быстро скажется на широком внедрении новых стандартов. Омассон полагает, что не раньше чем через 10 лет результаты конкурса и иные предпринимаемые усилия в этом направления приведут к широкому осознанию необходимости принять на вооружение и использовать более безопасные пароли.
|
![]() |
карта сайта![]() ![]() ![]() |
![]() |
![]() |
|
![]() ![]() |