Etikettarkiv: datalagring

Frankrike förbjuder nog inte hashade lösenord

Det har varit en hel del diskussioner på bland annat Twitter om att Frankrike sägs ha förbjudit hashade lösenord, att det nu krävs att lösenord lagras i klartext. Diskussionerna startade med postningen ”France Outlaws Hashed PasswordsSlashdot. I postningen pekas det på en artikel hos BBC om hur nätföretag som Google motsätter sig den nya lagen.

Som många andra tänkte jag att vad är nu detta för galenskaper. Men när jag läser artikeln i fråga blir jag tveksam. BBCs artikel innehåller inte speciellt mycket detaljer, men det som står där är:

The law obliges a range of e-commerce sites, video and music services and webmail providers to keep a host of data on customers.

This includes users’ full names, postal addresses, telephone numbers and passwords. The data must be handed over to the authorities if demanded.

Om man sedan gräver lite i diskussionerna på Slashdot dyker det upp att det verkar röra sig om ett dekret från 2004. Och nu kan jag inte franska, men ska man tro de på Slashdot som säger sig kunna det står det inget om förbud att hasha lösenord, eller att de måste lagras i klartext.

När vi pratar om hashade lösenord handlar det om att man i ett system inte sparar själva lösenordet, utan bara den signatur man får genom att köra den genom en kryptografisk hashfunktion. Det som lagras i systemet är signaturen, inte lösenordet. När ett lösenord ska verifieras tas användarens inmatade lösenord emot, detta körs genom hashfunktionen och sedan jämförs signaturerna. Säkerheten i systemet bygger på att det inte går att utifrån en signatur räkna ut vilket lösenord det var som matades in.

En möjlig attack är om man har stora ordböcker eller tabeller med tänkbara lösenord (exempelvis sigge). Orden och potentiella lösenord körs igenom hasfunktionen och jämförs. För att skydda mot denna typ av attacker använder man en extra hemlighet, man saltar hashningen. Dessutom kan man öka styrkan genom att hasha många gånger (ex 1000 ggr i RFC 2898).

Som jag ser det innebär Frankrikes lag att lösenord måste kunna lämnas över, men det innebär inte med automatik att system med hashade lösenord måste frångås eller att lösenord måste vara lagras i klartext. Det enda lagen verkar säga är att lösenord måste kunna lämnas över. Det som krävs för detta är att lösenorden lagras och sedan vid begäran kan tas fram och lämnas över. Men lösenorden kan säkert lagras väl krypterade och skyddade i en databas avsedd för att uppfylla lagkravet samtidigt som hashade lösenord används av det huvudsakliga systemet.

En sådan databas skulle naturligtvis vara väldigt intressant att komma över för den som vill få tag på lösenord, och vi kommer säkert att få se den typen av informationsförluster i och med lagar av den här typen. Men att tro att all form av säkerhet flyger ut genom fönstret och att allt numera måste vara i klartext är nog att ta i.

Har jag fel? Säg gärna till.