Neuartiger Passwort-Schutz bei PrivaSphere

15. Februar 2016, 16:38
  • security
  • privasphere
image

PrivaSphere, Schweizer Anbieter einer Lösung für sicheres E-Mail, hat zusammen mit IBM Research Zürich ein neuartiges, kryptographisches Protokoll zum Schutz von Passwörtern in die Infrastruktur für PrivaSphere Secure Messaging integriert.

PrivaSphere, Schweizer Anbieter einer Lösung für sicheres E-Mail, hat zusammen mit IBM Research Zürich ein neuartiges, kryptographisches Protokoll zum Schutz von Passwörtern in die Infrastruktur für PrivaSphere Secure Messaging integriert. Das neue System basiert auf einer über mehrere Server verteilten Verifikation von Passwörtern.
Der Hash-Code eines Passworts ist dabei laut PrivaSphere weiterhin zentral in einer Datenbank bei einem Dienstleister gespeichert. Der Hash-Code ist aber verschlüsselt und zu seiner Entschlüsselung müssen, wie PrivaSphere erläutert, mehrere andere Server, die jeweils über eigene geheime Schlüssel verfügen, beitragen. Um den Hash-Code zu entschlüsseln - das ist die Voraussetzung für den Versuch, ihn danach mit Brute-Force-Methoden zu knacken - müssten Angreifer also die Kontrolle über alle beteiligten Server gleichzeitig übernehmen, so PrivaSphere. Die verschlüsselten Passwörter seien zudem aufgrund des Systems auch nicht angreifbar, wenn Angreifer sie vom zentralen Server herunterladen könnten.
Eines der wichtigen Features des Systems ist es auch, dass die Schlüssel der beteiligten Server schnell und einfach ausgetauscht werden können, entweder wenn ein Angriff erkannt oder vermutet wird oder auch automatisch in einem regelmässigen Turnus. Dies sollte es Angreifern auch beinahe unmöglich machen, die Server einen nach dem anderen zu übernehmen und so die zentrale Hash-Code-Datenbank zu entschlüsseln.
Knackpunkt einfache Passworterneuerung
Laut einem Blogbeitrag von IBM ist die Idee der verteilten Verifikation von Passwörtern an sich nicht neu. Zudem werde sie schon seit mehr als einem Jahrzehnt in gewissen kommerziell erhältlichen Produkten angewendet. Die eigentliche Innovation sei aber der oben erwähnte Mechanismus zur Passworterneuerung auf den Servern. Die bisher dafür verwendeten Protokolle seien entweder sichereitstechnisch fragwürdig gewesen, oder zu ineffizient, um sie in Systemen mit einer hohen Belastung einzusetzen.
Insgesamt - und das dürfte die Enduser am meisten freuen - sollte so auch der Gebrauch von relativ einfachen Passwörtern bei gleichbleibend hoher Sicherheit möglich sein. (hjm)

Loading

Mehr zum Thema

image

EPD-Infoplattform von eHealth Suisse gehackt

Unbekannte haben von der Website Patientendossier.ch Nutzerdaten abgegriffen. Das BAG erstattet Anzeige, gibt aber Entwarnung.

publiziert am 30.9.2022 2
image

Palantir übernimmt 230-Millionen-Auftrag, um US-Drohnen effizienter zu machen

Der opake Datenanalyse-Konzern des rechtslibertären Milliardärs Peter Thiel gibt auch in Europa wieder zu Reden. CEO Alex Karp inszeniert sich als kritischer Geist.

publiziert am 30.9.2022
image

Podcast: Sollten noch Produkte von Huawei und Kaspersky eingesetzt werden?

Wir debattieren, was es für die Schweiz bedeutet, wenn Produkte von Firmen aus autoritären Ländern eingesetzt werden. Zudem gehen wir den Transparenzinitiativen von zum Beispiel Kaspersky und Huawei auf den Grund und fragen uns: Sind die Amerikaner eigentlich besser?

publiziert am 30.9.2022
image

Ransomware-Banden kaufen Erstzugänge extern ein

Für nur gerade 10 Dollar können sich Cyberkriminelle auf Darkweb-Flohmärkten Zugänge zu Systemen kaufen. Damit können sie dann Schlimmes anrichten.

publiziert am 29.9.2022