Oprogramowanie

„DiceKeys” tworzy główne hasło do życia jednym rzutem

Schechter mówi, że dzięki różnym cyfrom i literom na każdej powierzchni klawisza, a także orientacjom kostek, wynikowy układ ma około 196 bitów entropii, co oznacza, że ​​są 296 różne możliwości ustawienia kości. Schechter szacuje, że jest to mniej więcej tyle możliwości, ile jest atomów w czterech lub pięciu tysiącach układów słonecznych. „Dzięki nowoczesnej technologii nie można tak naprawdę zbudować komputera wystarczająco dużego, aby odgadnąć tę liczbę bez zmiażdżenia się jego grawitacją” – mówi.

Po zeskanowaniu kości aplikacja proponuje użycie wygenerowanego przez siebie klucza w celu uzyskania bardzo długiego, czysto losowego hasła, które można wyciąć i wkleić do menedżera haseł jako hasło główne. Aplikacja DiceKeys nie przechowuje klucza, który tworzy w wyniku skanowania kości, hasła głównego ani czegokolwiek innego. Ale co najważniejsze, może zregenerować ten klucz i hasło na polecenie, ponownie skanując pudełko z kostkami.

Schechter tworzy również oddzielną aplikację, która będzie zintegrowana z DiceKeys, aby umożliwić użytkownikom zapisanie klucza wygenerowanego przez DiceKeys do ich dwuskładnikowego tokena uwierzytelniania U2F. Obecnie aplikacja działa tylko z tokenem SoloKey U2F o otwartym kodzie źródłowym, ale Schechter ma nadzieję rozszerzyć ją tak, aby była kompatybilna z częściej używanymi tokenami U2F, zanim DiceKeys zostaną wysłane. To samo API, które umożliwia integrację z jego aplikacją do tokenów U2F, pozwoli również programistom portfeli kryptowalut na integrację ich portfeli z DiceKeys, dzięki czemu z kompatybilną aplikacją portfela DiceKeys może wygenerować klucz kryptograficzny, który chroni również kryptowaluty.

Kryptograficzny schemat mieszania używany przez DiceKeys do generowania haseł i kluczy uniemożliwia nikomu, na przykład fałszywemu menedżerowi haseł lub portfelowi kryptograficznemu, pracę wstecz w celu uzyskania klucza DiceKeys użytkownika. Tak więc DiceKeys ma umożliwić użytkownikowi generowanie i, jeśli to konieczne, regenerację haseł i kluczy do wielu aplikacji, bez narażania bezpieczeństwa innych.

Schechter twierdzi również, że plastikowe pudełko na kości jest stosunkowo przyszłościowe. Jest trwalszy i trudniejszy do zgubienia niż kartka papieru z zapisanym na niej hasłem. Mówi, że jest „odporny na malucha” i zaprojektowany tak, aby wytrzymać upadki z wysokości najwyższego człowieka. (Schechter mówi, że pracuje również nad wersją ze stali ognioodpornej.) I chociaż od dziesięcioleci świat mógł odejść od standardów takich jak Bluetooth i USB-C, licencja DiceKeys pozwala społeczności open source na utrzymanie tego; w najlepszym przypadku mogłaby działać w nieskończoność.

Schechter opisuje DiceKeys jako wciąż w fazie testów alfa, a jego bezpieczeństwo na razie nie jest doskonałe. Na przykład przechowywanie aplikacji DiceKeys w Internecie naraża ją na ataki hakerów, którzy mogą przejąć serwer, na którym jest ona uruchomiona, w celu uzyskania kopii kluczy i haseł, które generuje. Ale Schechter twierdzi, że tworzy wersje aplikacji na iOS i Androida, które ma nadzieję przygotować, zanim DiceKeys wyśle ​​do klientów – ważne ulepszenie bezpieczeństwa, mówi Dan Boneh, znany profesor kryptografii na Uniwersytecie Stanforda, który oglądał przemówienie Schechtera Usenix. „Aplikację można poddać inżynierii wstecznej, aby upewnić się, że działa zgodnie z oczekiwaniami. Przypuszczalnie niektóre organizacje zajmujące się bezpieczeństwem zrobiłyby to i zgłosiłyby swoje ustalenia reszcie z nas” – napisał Boneh w e-mailu do WIRED. „Nie można tego zrobić w chmurze”.

Dzięki uprzejmości Stuarta Schechtera

Ale poza tym Boneh twierdzi, że DiceKeys „to dobry sposób na wskazywanie użytkownikom właściwego zachowania”. Został zaprojektowany, aby ułatwić ludziom korzystanie z menedżera haseł, na przykład szeroko zalecaną praktykę bezpieczeństwa, ponieważ menedżery haseł umożliwiają użytkownikom generowanie silnych, unikalnych haseł do wszystkich ich różnych kont.

Pomimo faktu, że DiceKeys będą prawdopodobnie najbardziej początkowo atrakcyjne dla społeczności kryptograficznych i bezpieczeństwa, Schechter mówi, że postrzega je jako narzędzie dla osób, które chcą adoptować menedżery haseł i tokeny U2F, ale są onieśmieleni perspektywą zapomnienia hasła głównego lub zgubienie tokena U2F. „Ma to pomóc ludziom przezwyciężyć te problemy. To dla zwykłych użytkowników” – mówi Schechter. „Jest zdecydowanie zaprojektowany, aby uczynić bezpieczeństwo bardziej dostępnym dla ludzi, ponieważ jest to coś, co mogą zrozumieć. To zbiór liter i cyfr w pudełku”.


Więcej świetnych historii WIRED

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook