Změna hashování existujících hesel

Pokud "pepř", tedy nějaký globální statický řetězec, přimícháte před hashováním, tak můžete poškodit původní algoritmus, protože ho změníte

Popravdě, to se mi zdá krajně nepravděpodobného, protože: a) to by byl opravdu velmi debilní hash, který by se nechal rozhodit "prodloužením" hesla, b) přidání pepře je z hlediska hashe to samé jako přidání (delší) soli.

Po objevení dalších hashů, což bylo několik různých variant MD5, které by se daly zjednodušeně popsat jako "MD5 se solí" a "MD5 se solí a pepřem" bylo cracknuto 2,6 milionu hesel za pár hodin a 11,2 milionu hesel za 10 dní.

1) ano, MD5 není považováno za bezpečné už pěkně dlouho, takže tohle není moc fér argumentace. 2) jediná funkce soli/pepře je ochrana proti předpočítanými nebo částečně předpočítanými hashi, proti hrubé síle pochopitelně nefunguje, ale to neznamená, že by to bylo k ničemu.

"Bez otravování uživatelů" není můj názor, je to požadavek. Bezpečnost jde ruku v ruce s použitelností, slovy Aviho Douglena: Bezpečnost na úkor použitelnosti jde na úkor bezpečnosti. Nelze zbytečně zatěžovat uživatele pokud to není vysloveně nutné. A při změně hashování to potřeba opravdu není.

Bezpečnost závisí na použitelnosti, ve svém komentáři jsem to jen naznačil, nepředpokládal jsem, že je nutné to explicitně popisovat. Co jsem naopak výslovně napsal, je to, že v případě pouhé výměny hashovací funkce za silnější bych hesla resetoval až po několika letech (pokud se uživatel mezitím nepřihlásil). Reálné otravování uživatelů by tedy bylo minimální, pokud vůbec nějaké – a nesrovnatelně menší třeba v porovnání s tím, že uživatele vůbec nutím vytvářet nějaký účet, místo aby se mohl přihlásit nějakým externím účtem (OpenID, Facebook, Google apod.).

Můžete mě prosím odkázat na nějaký reálný výzkum, který by Vaši domněnku potvrdil?

Ta domněnka mi připadá natolik samozřejmá, že jsem po nějakém výzkumu nikdy nepátral. Máte vy nějaký reálný výzkum, který by ji vyvracel?

Všimněte si prosím, že žádné funkce na hashování hesel "pepř" nepodporují.

A taky ty funkce pro hashování hesel očekávají na vstupu heslo v otevřeném tvaru. Což ovšem vůbec neznamená, že poskytování hesla serveru v otevřeném tvaru je dobrý nápad. Připomněl bych, že se tady celou dobu bavíme o workaroundu pro vážnou bezpečnostní chybu webových prohlížečů (nepodporují pořádně přihlašování metodou challenge–response) a bezpečnostní nedostatek protokolu HTTP (který neřeší vytváření a změnu hesel, a HTTP Digest s MD5 taky není úplně moderní) – takže argument, že se něco běžně používá, rozhodně neberu jako důkaz, že je to bezpečné.

Pokud "pepř", tedy nějaký globální statický řetězec, přimícháte před hashováním, tak můžete poškodit původní algoritmus, protože ho změníte.

Stejně jako ten algoritmus změníte, pokud před hashováním heslo zahashujete stejným nebo jiným algoritmem. Rozdíl je v tom, že to „předhashování“ prokazatelně snižuje kryptografickou bezpečnost celé operace, zatímco přimíchání pepře (pokud se neudělá špatně) by mělo být z kryptografického hlediska neutrální (samozřejmě pokud se nenajde slabina té hashovací funkce, která by zrovna to přimíchání uměla zneužít).

Jako příklad snad postačí použití "pepře" v PrestaShopu, ve kterém díky tomu byla všechna hesla uměle zkrácena na 16 znaků.

Tohle není žádný argument, zkazit lze cokoli. Pokud někde jako vstup do „heslovací“ funkce bcrypt použili omylem délku hesla místo samotného hesla, odepíšete jako nepoužitelnou i funkci bcrypt?

Navíc v realistickém modelu hrozeb by měla být možnost použití útoku SQL Injection k získání obsahu např. konfiguračních souborů, tedy i onoho "pepře".

To asi záleží na tom, jak kde – já se nepohybuju ve světě PHP aplikací, takže SQL Injection je pro mne něco, o co se musí programátor dost snažit, aby to vyrobil. A napsat tu aplikaci tak, aby šlo přes SQL injection získat konfigurační soubor, to už by byla opravdu výzva. Navíc pokud má někdo v aplikaci SQL Injection, je únik hesel ten nejmenší problém. Dále, jestli se nepletu, medializované úniky v poslední době nebyly získané útokem přes aplikaci, ale útočník získal samotná data – buď nějaké zálohy nebo jiného dumpu databáze. Proti takovým únikům chrání pepř velmi dobře. Ostatně, představte si ten současný únik Mall.cz – kdyby byl použit bcrypt, nějaká hesla by se podařilo stejně získat. Kdyby byl použit pepř (rozumně), počet získaných hesel by byl přesně 0.

Tím se sníží bezpečnost takového řešení jena na "hash a případná sůl" a závisí tedy opět na použitém hashi.

Ano, pokud útočník zná pepř, dostáváme se na původní úroveň bezpečnosti „hash soleného hesla“. Jenže s tím už se nedá nic dělat, protože heslo potřebujeme ověřit v okamžiku, kdy se uživatel přihlašuje, takže to nemůže trvat moc dlouho („Bezpečnost na úkor použitelnosti jde na úkor bezpečnosti.“). A útočník má možnost heslo louskat o několik řádů rychleji a ještě na to má na dost času. Navíc úspěšnost louskání hrubou silou závisí především na kvalitě hesla samotného. Takže zpomalování hashování je dobré leda tak pro dobrý pocit, při zabezpečení hesel je mnoho důležitějších kroků.

Mezi použitím nevhodných hashů (např. MD5) a hashů pro ukládání hesel (např. bcrypt s cost=10) je rozdíl 8 řádů, při použití vyššího costu i více. Může se to zdát málo, ale převedeno na čísla to znamená, že jde o generování kandidátů rychlostí 30 miliard pokusů za vteřinu vs. 650 pokusů za vteřinu.

Ono se to nezdá málo, ono to je málo. Šest řádů smažete použitím botnetu místo jediného počítače. Pět řádů smažete tím, že na výsledek nebudete čekat jednu vteřinu, ale počkáte si „celý“ den. Více než 8 řádů umažu použitím pouhého 32bitového pepře (snad nikdo nebude takový šílenec, aby použil něco tak krátkého). Osm řádů vymaže uživatel tím, že přidá k heslu další čtyři znaky. Nějaké řády se umažou rozvojem techniky mezi dobou, kdy byl zprovozněn daný způsob ukládání hesel, a dobou, kdy je útočník začne louskat – jenom tohle (rozvoj techniky) a nic jiného stojí za tím, proč je dnes MD5 pro hesla slabá. Nejpozději za dvacet let budou bcrypt nebo Argon2 stejně slabé, jako dnes MD5 – ale pravděpodobně mnohem dřív (i kdyby to byly dobré hashovací funkce).

Mimochodem, můžete odkázat na nějaký reálný výzkum, který by zkoumal kryptografickou bezpečnost bcrypt nebo Argon2? Protože přijít na to, že špatné použití pepře zkracuje hesla na 16 znaků, to je triviální. Přijít na to, že je něco špatně v kryptografické hashovací funkci, to je úplně jiná liga. A mně jímá hrůza pokaždé, když se někdo rozhodne, že nějakou ověřenou kryptografickou funkci „vylepší“.

Velmi pravděpodobně to za pár let dělat nebudete.

Budu. Celou dobu řešíte, kolik zbyde hesel, u kterých nikdy k přehashování nedojde, protože se uživatel znovu nepřihlásí. A já fakt nemíním mít ještě za deset let v databázi hesla, která budou závislá na síle MD5 – protože mi nikdo nezaručí, že se za těch deset let neobjeví ještě nějaká pořádná díra v MD5.

Problémem je, pokud vývojáři používají hashovací funkce, které nejsou určené k ukládání hesel, tedy např. SHA-1 a MD5, pak je potřeba takováhle spartakiáda s přehashováváním. Když se používají doporučené funkce, tak stačí transparentně po přihlášení přehashovávat, hesla jsou stále dobře chráněna i při použití třeba onoho bcryptu s costem 10.

Pro mne je důležité, že ty hashovací funkce, které nejsou primárně určené k ukládání hesel (dnes aspoň SHA-2), jsou experty prověřené kryptografické hashovací funkce. Za spartakiádu naopak považuju bcrypt a podobné.

Toto by bylo možné provést maximálně ve velkých organizacích, které tyto procesy dokáží zaručit, ale ve ani ty nemají důvod k uchovávání hesel v zašifrované podobě.

Důvod je je velmi jednoduchý – předpoklad, že v budoucnosti bude potřeba použít jiný hashovací algoritmus, například vynucený protokolem. Třeba když někdo provozuje webmail a rozhodne se přidat podporu pro SMTP+IMAP, jsou mu jeho bcryptem zahashovaná hesla k ničemu, protože SMTP a IMAP používají jiné hashe.

Tohle jsou důvody, proč jste nejenže neodpověděl na mou otázku "Jak byste to bez otravování uživatelů udělal lépe, prosím?", ale neodpověděl jste ani na otázku "Jak byste to udělal lépe". Vaše odpověď je pouze na otázku "jak byste to udělal", ale přesto Vám za odpovědi děkuji.

To, že vy si myslíte, že to není „lépe“, neznamená, že to není odpověď na uvedenou otázku. I kdyby to byla špatná odpověď, pořád to může být „odpovídající“ odpověď.

daly zjednodušeně popsat jako "MD5 se solí" a "MD5 se solí a pepřem"

Jeminkote! S předem známým pepřem!