IT-ИМПУЛЬС
ОБСЛУЖИВАНИЕ ПК ВИДЕОНАБЛЮДЕНИЕ ОБСЛУЖИВАНИЕ 1С УСЛУГИ И ЦЕНЫ
+7 (812) 309-46-35
Контакты Меню
Главная IT НОВОСТИ Специалисты из университета Виргинии создали Horcrux, менеджер паролей для параноиков
АБОНЕНТСКОЕ ОБСЛУЖИВАНИЕ ТЕХНИКИ Обслуживание компьютеров Обслуживание периферийных устройств Обслуживание торгового оборудования Обслуживание сетей Что такое ИТ-аутсорсинг?
АРЕНДА / ОБСЛУЖИВАНИЕ СЕРВЕРА Аренда сервера 1С сервер Контроллер домена Файловый сервер
ВИДЕОНАБЛЮДЕНИЕ Видеонаблюдение IP видеонаблюдение Гибридное видеонаблюдение
IP-ТЕЛЕФОНИЯ Офисная телефония IP-ТЕЛЕФОНИЯ
УСЛУГИ И ЦЕНЫ
АКЦИИ
КОНТАКТЫ
Обзоры
Статьи
Хостинг
IoT
MongoDB
Безопасность
Взлом
Игрушки
Новости
Утечка данных
Cloudbleed
Cloudflare

Специалисты из университета Виргинии создали Horcrux, менеджер паролей для параноиков

Ханна Ли (Hannah Li) и Дэвид Эванс (David Evans) из университета Виргинии разработали менеджер паролей Horcrux (PDF), который они сами называют «парольным менеджером для параноиков». Дело в том, что Horcrux работает не совсем так, как другие подобные решения, и в первую очередь он ориентирован на максимальную безопасность.

У Horcrux есть две особенности, которые отличают его от других менеджеров паролей. Для начала стоит отметить, как реализовано автоматическое заполнение веб-форм. Если другие продукты заполняют формы настоящими учетными данными пользователя, то Horcrux подменяет их фальшивкой. Ли и Эванс убеждены, что использование подлинных учетных данных несет большой риск, ведь в теории это позволяет вредоносному JS-скрипту считать их из формы перед отправкой.

Поэтому Horcrux подставляет в формы специальные фальшивки, которые остаются на месте до тех пор, пока пользователь не инициирует отправку формы. Лишь после этого Horcrux перехватывает HTTP POST-запрос и заменяет в нем поддельные учетные данные на настоящие.

Авторы Horcrux признают, что в целом эта идея не нова, ранее исследователи уже предлагали использовать подобные методы, однако ранее их не применяли в менеджерах паролей (в силу проблем с юзабилити и совместимостью). Ли и Эванс, в свою очередь, утверждают, что их решение совместимо с 98% сайтов из топа Alexa.

Второй отличительной особенностью Horcrux является то, как менеджер хранит учетные данные. В отличие от других продуктов, Horcrux не «складывает все яйца в одну корзину» и не доверяет единому хранилищу. Вместо этого учетные данные пользователей распределяются по нескольким серверам. Таким образом, если атакующие сумеют скомпрометировать один из этих серверов, они все равно не завладеют всеми учетными данными пользователей, что минимизирует ущерб.

Более того, распределенные по серверам учетные данные имеют разделенный секрет и защищены с помощью техники кукушкино хеширование. Это гарантирует, что атакующие не смогут определить, верен ли подобранный мастер-пароль. По сути, злоумышленники вряд ли сумеют завладеть хоть какой-то информацией, даже если взломают несколько серверов, хранящих пароли.

В настоящее время Horcrux доступен только в формате аддона для Firefox и пока является лишь прототипом. Найти его можно в репозитории GitHub. Так как решение находится на довольно ранней стадии разработки, пользователям, которые желают опробовать Horcrux в деле, придется самостоятельно хостить серверы для хранения паролей.
Источник: xakep.ru
РАССЫЛКА ПОСЛЕДНИХ НОВОСТЕЙ
© 2008-2024 ООО "ИТ-Импульс" Информация на сайте не является публичной офертой
mail@it-impulse.ru 198328,Санкт-Петербург г, ул.Маршала Захарова, д.15/A пом.3Н
+7 (812) 309-46-35 198328,Санкт-Петербург г, ул.Маршала Захарова, д.15/A пом.3Н