
Distributed Credential Protection – новая технология от RSA предотвратит взлом БД
Компания RSA анонсировала новый продукт под названием Distributed Credential Protection для защиты баз данных от взлома. Принцип работы нового инструмента заключается в рандомизации, кодировании и разделении паролей между двумя разными серверами, чтобы кибер-преступники и разного рода хакеры-активисты не могли похитить целую базу с именами и паролями пользователей.
Пакет Distributed Credential Protection предназначен для запуска на виртуальных серверах и безопасного хранения паролей за счет перестановки символов и разделения на части – фрагменты одного пароля хранятся на разных серверах. Главная функция нового пакета заключается в предотвращении кражи паролей, от которых нередко страдают различные системы, включая такие известные сервисы, как LinkedIn, eHarmony и Zappos.
Одним из основных компонентов системы Distributed Credential Protection – это программный агент, который устанавливается на виртуальную машину. Оба сервера в системе (наличие двух разных серверов обязательно) могут находиться в любых местах – на локальной площадке, в отдельном ЦОД или в облаке. Скорость извлечения паролей не уступает системам удаленной авторизации с использованием протокола SSL.
Примечательно, что пользователи нового продукта RSA не смогут выбирать алгоритм хэширования паролей. Сами разработчики уверяют, что провели достаточно работы, чтобы выбрать наиболее подходящий алгоритм, чтобы пользователям не нужно было думать над собственным выбором. По словам представителей RSA, в системе распределенной защиты регистрационных данных пользователей Distributed Credential Protection используется слепое XoR-сравнение, надежный генератор случайных чисел, а также алгоритм эллиптических кривых Диффи-Хеллмана. Применение слепого сравнения означает, что программа никогда не восстанавливает исходный текст сохраненного пароля, что могло бы создать угрозу безопасности. Вместо этого, проверка паролей выполняется по их уникальным шифрованным хэш-кодам.
Применение XoR-функции дает алгоритму два разных случайных числа, образующих математическое уравнение – если вы подставляете в уравнение нужный пароль, оба сервера дают одинаковый отклик. Если отклик двух серверов (решение уравнения с XoR-параметрами) не совпадает, пароль считается неверным.
Для дополнительной защиты в системе Distributed Credential Protection выполняется регулярная смена затравок шифрования (seed), случайных чисел, используемых для перестановок в сохраненных данных. Эти затравки также используются для синхронизации между двумя серверами. В результате, при попытке похитить пароль злоумышленнику придется похитить данные с двух серверов с один и тот же момент.
Разработчики системы Distributed Credential Protection подчеркивают, что заказчикам не нужно рассматривать продукт как единственное оружие в борьбе с похищением паролей. Это лишь один из эшелонов обороны, которую следует организовать для важных баз данных с регистрационными данными пользователей. Вообще, сейчас вопрос о компрометации стоит не «возможно ли это», а «когда это случится». Соответственно, у организаций должен быть инструмент, который поможет свести потери к минимальными, а лучше вообще предотвратить похищение паролей. Официальный выпуск системы RSA Distributed Credential Protection ожидается к концу 2012 года.
Страница продуктов компании RSA: http://store.softline.ru/rsa-the-security-division-of-emc.
Получить консультацию по покупке и лицензированию вам поможет Юлия Комарова (e-mail: Yuliya.Komarova@softline.ru, тел.: +7(495) 232-0060 доб. 3108).