making password checking systems be7er
play

Making Password Checking Systems Be7er Tom Ristenpart - PowerPoint PPT Presentation

Jul 05, 2023 •94 likes •414 views

Making Password Checking Systems Be7er Tom Ristenpart Covering joint work with: Anish Athayle, Devda<a Akawhe, Joseph Bonneau, Rahul Cha<erjee, Adam

  1. Making ¡Password ¡Checking ¡ Systems ¡Be7er ¡ Tom ¡Ristenpart ¡ Covering ¡joint ¡work ¡with: ¡ Anish ¡Athayle, ¡Devda<a ¡Akawhe, ¡Joseph ¡Bonneau, ¡Rahul ¡Cha<erjee, ¡ Adam ¡Everspaugh, ¡Ari ¡Juels, ¡Sam ¡Sco< ¡

  2. Password ¡checking ¡systems ¡ tom ¡ password1 ¡ tom, ¡password1 ¡ alice ¡ 123456 ¡ bob ¡ p@ssword! ¡ Login ¡ ¡ server ¡ (plus ¡hundreds ¡of ¡millions ¡more) ¡ Allow ¡login ¡if: ¡ A<ack ¡detecOon ¡mechanisms ¡don’t ¡flag ¡request ¡ Password ¡matches ¡ SomeOmes: ¡ ¡second ¡factor ¡succeeds ¡

  3. Problems ¡w/ ¡password ¡checking ¡systems ¡ tom ¡ password1 ¡ tom, ¡password1 ¡ alice ¡ 123456 ¡ bob ¡ p@ssword! ¡ Login ¡ ¡ server ¡ People ¡oUen ¡enter ¡ ¡ wrong ¡password: ¡ Passwords ¡databases ¡must ¡be ¡protected: ¡ -­‑ Typos ¡ -­‑ Server ¡compromise ¡ -­‑ Memory ¡errors ¡ -­‑ ExfiltraOon ¡a<acks ¡(e.g., ¡SQL ¡injecOon) ¡ Widespread ¡pracOce: ¡ -­‑ Apply ¡hashing ¡w/ ¡salts ¡ -­‑ Hope ¡slows ¡down ¡a<acks ¡enough ¡

  4. Today’s ¡talk ¡ Pythia : ¡moving ¡beyond ¡“hash ¡& ¡hope” ¡ Harden ¡hashes ¡with ¡off-­‑system ¡secret ¡key ¡using ¡ ¡ par$ally ¡oblivious ¡pseudorandom ¡func$on ¡ protocol ¡ [Everspaugh, ¡Cha<erjee, ¡Sco<, ¡Juels, ¡R. ¡– ¡USENIX ¡Security ¡2015] ¡ Typo-­‑tolerant ¡password ¡checking ¡ In-­‑depth ¡study ¡of ¡typos ¡in ¡user-­‑chosen ¡passwords ¡ Show ¡how ¡to ¡allow ¡typos ¡without ¡harming ¡security ¡ [Cha<erjee, ¡Athayle, ¡Akawhe, ¡Juels, ¡R. ¡– ¡Oakland ¡2016] ¡

  5. Password ¡checking ¡systems ¡ tom ¡ tom ¡ password1 ¡ salt 1 ¡, ¡H c (password1,salt 1 ) ¡ tom, ¡password1 ¡ alice ¡ alice ¡ 123456 ¡ salt 2 ¡, ¡H c (123456,salt 2 ) ¡ bob ¡ bob ¡ p@ssword! ¡ salt 3 ¡, ¡H c (p@ssword!,salt 3 ) ¡ Login ¡ ¡ server ¡ Websites ¡should ¡ never ¡store ¡passwords ¡directly, ¡ ¡ they ¡should ¡be ¡(at ¡least) ¡hashed ¡with ¡a ¡salt ¡(also ¡stored) ¡ Cryptographic ¡hash ¡funcOon ¡H ¡ c ¡Omes ¡ ¡ (H ¡= ¡SHA-­‑256, ¡SHA-­‑512, ¡etc.) ¡ Common ¡choice ¡is ¡ ¡c ¡= ¡10,000 ¡ … ¡ H ¡ H ¡ H ¡ pw||salt ¡ Be<er: ¡ ¡scrypt, ¡argon2 ¡ UNIX ¡password ¡hashing ¡scheme, ¡PKCS ¡#5 ¡ Formal ¡analyses: ¡ ¡[Wagner, ¡Goldberg ¡2000] ¡[Bellare, ¡R., ¡Tessaro ¡2012] ¡

  6. Password ¡database ¡compromises ¡ … ¡ year ¡ % ¡recovered ¡ format ¡ # ¡stolen ¡ 2012 ¡ 100% ¡ plaintext ¡(!) ¡ 32.6 ¡million ¡ 2012 ¡ 90% ¡ Unsalted ¡SHA-­‑1 ¡ 117 ¡million ¡ 2013 ¡ ?? ¡ ECB ¡encrypOon ¡ 36 ¡million ¡ Salted ¡bcrypt ¡ 2015 ¡ 36 ¡million ¡ 33% ¡ + ¡MD5 ¡ … ¡

  7. (1) ¡Password ¡protecOons ¡oUen ¡implemented ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡incorrectly ¡in ¡pracOce ¡ (2) ¡Even ¡in ¡best ¡case, ¡hashing ¡slows ¡down ¡but ¡ ¡ ¡does ¡not ¡prevent ¡offline ¡brute-­‑force ¡cracking ¡

  8. Facebook ¡password ¡onion ¡ $cur ¡ ¡= ¡‘password’ ¡ $cur ¡ ¡= ¡md5($cur) ¡ $salt ¡= ¡randbytes(20) ¡ $cur ¡ ¡= ¡hmac_sha1($cur, ¡$salt) ¡ $cur ¡ ¡= ¡remote_hmac_sha256($cur, ¡$secret) ¡ $cur ¡ ¡= ¡scrypt($cur, ¡$salt) ¡ $cur ¡ ¡= ¡hmac_sha256($cur, ¡$salt) ¡

  9. Strengthening ¡password ¡hash ¡storage ¡ tom, ¡password1 ¡ h ¡ K ¡ f ¡= ¡HMAC(K, ¡h) ¡ Back-­‑end ¡ ¡ crypto ¡ ¡ h ¡= ¡H c (password1|| ¡salt) ¡ service ¡ Store ¡salt, ¡f ¡ HMAC ¡is ¡pseudorandom ¡funcOon ¡(PRF). ¡ f’ ¡= ¡H c (123456 ¡|| ¡salt) ¡ f ¡= ¡f’? ¡ f’ ¡= ¡HMAC(K, ¡h’) ¡ K ¡ Back-­‑end ¡ ¡ H c (1234567 ¡|| ¡salt) ¡ Must ¡sOll ¡perform ¡online ¡ ¡ crypto ¡ ¡ service ¡ brute-­‑force ¡a<ack ¡ H c (12345 ¡|| ¡salt) ¡ ¡ ExfiltraOon ¡doesn’t ¡help ¡ … ¡

  10. Strengthening ¡password ¡hash ¡storage ¡ tom, ¡password1 ¡ h ¡ K ¡ f ¡= ¡HMAC(K, ¡h) ¡ Back-­‑end ¡ ¡ crypto ¡ ¡ h ¡= ¡H c (password1|| ¡salt) ¡ service ¡ Store ¡salt, ¡f ¡ CriDcal ¡limitaDon: ¡ ¡can’t ¡rotate ¡K ¡to ¡a ¡new ¡secret ¡K’ ¡ • Idea ¡1: ¡Version ¡database ¡and ¡update ¡as ¡users ¡log ¡in ¡ § But ¡doesn’t ¡update ¡old ¡hashes ¡ • Idea ¡2: ¡Invalidate ¡old ¡hashes ¡ § But ¡requires ¡password ¡reset ¡ • Idea ¡3: ¡Use ¡secret-­‑key ¡encrypOon ¡instead ¡of ¡PRF ¡ § But ¡requires ¡sending ¡keys ¡to ¡web ¡server ¡(or ¡high ¡bandwidth) ¡

  11. The ¡Pythia ¡PRF ¡Service ¡ Blinding ¡means ¡service ¡learns ¡ nothing ¡about ¡passswords ¡ tom, ¡password1 ¡ user ¡id, ¡blinded ¡h ¡ K ¡ Blinded ¡PRF ¡output ¡f ¡ Back-­‑end ¡ ¡ crypto ¡ ¡ h ¡= ¡H c (password1|| ¡salt) ¡ service ¡ Blind ¡h, ¡pick ¡user ¡ID ¡ User ¡ID ¡reveals ¡fine-­‑grained ¡query ¡ Unblind ¡PRF ¡output ¡f ¡ pa<erns ¡to ¡service. ¡ ¡ Store ¡user ¡ID, ¡salt, ¡f ¡ Compromise ¡detecOon ¡& ¡rate ¡limiOng ¡ Cryptographically ¡erases ¡ ¡f: ¡ Useless ¡to ¡a<acker ¡in ¡the ¡future ¡ Combine ¡token ¡and ¡f ¡ ¡ K ¡ to ¡generate ¡f’ ¡= ¡F(K’,h) ¡ Token(K-­‑>K’) ¡ Back-­‑end ¡ ¡ crypto ¡ ¡ Server ¡learns ¡nothing ¡ K’ ¡ service ¡ about ¡K ¡or ¡K’ ¡

  12. New ¡crypto: ¡parDally-­‑oblivious ¡PRF ¡ Groups ¡G 1 ¡, ¡G 2 ¡, ¡G T ¡w/ ¡ ¡ ¡bilinear ¡pairing ¡e ¡: ¡G 1 ¡x ¡G 2 ¡-­‑> ¡G T ¡ ¡ ¡ ¡ ¡ ¡ ¡e(a x ,b y ) ¡= ¡c xy ¡ K ¡ tom, ¡password1 ¡ user ¡id, ¡h r ¡ y ¡ t ¡= ¡H(user ¡id) ¡ y ¡= ¡e(t K ,h r ) ¡ h ¡= ¡H c (password1|| ¡salt) ¡ Choose ¡random ¡r ¡ f ¡= ¡y 1/r ¡ Store ¡user ¡ID, ¡salt, ¡f ¡ f ¡ ¡ ¡= ¡ ¡ ¡e(t K ,h r ) 1/r ¡ ¡ ¡= ¡ ¡ ¡e(t,h) Kr*1/r ¡ ¡ ¡ ¡ = ¡ ¡ ¡ ¡e(t,h) K ¡ • Pairing ¡cryptographically ¡binds ¡user ¡id ¡with ¡password ¡hash ¡ • Can ¡add ¡verifiability ¡(proof ¡that ¡PRF ¡properly ¡applied) ¡ • Key ¡rotaOon ¡straigh•orward: ¡ ¡ ¡ ¡ ¡Token(K ¡-­‑> ¡K’) ¡ ¡= ¡ ¡K ’ ¡ / ¡ K ¡ • InteresOng ¡formal ¡security ¡analysis ¡(see ¡paper) ¡

  13. The ¡Pythia ¡PRF ¡Service ¡ § Queries ¡are ¡fast ¡despite ¡pairings ¡ • PRF ¡query: ¡ ¡ ¡11.8 ¡ms ¡ ¡(LAN) ¡ ¡ ¡ ¡ ¡ ¡ ¡96 ¡ms ¡ ¡(WAN) ¡ § Parallelizable ¡password ¡onions ¡ ¡ • H c ¡ ¡and ¡PRF ¡query ¡made ¡in ¡parallel ¡(hides ¡latency) ¡ § MulO-­‑tenant ¡(theoreOcally: ¡scales ¡to ¡100 ¡million ¡login ¡servers) ¡ § Easy ¡to ¡deploy ¡ • Open-­‑source ¡reference ¡implementaOon ¡at ¡ ¡ ¡ ¡ ¡ ¡h<p://pages.cs.wisc.edu/~ace/pythia.html ¡

  14. Today’s ¡talk ¡ Pythia : ¡moving ¡beyond ¡“hash ¡& ¡hope” ¡ Harden ¡hashes ¡with ¡off-­‑system ¡secret ¡key ¡using ¡ ¡ par$ally ¡oblivious ¡pseudorandom ¡func$on ¡ protocol ¡ [Everspaugh, ¡Cha<erjee, ¡Sco<, ¡Juels, ¡R. ¡– ¡USENIX ¡Security ¡2015] ¡ Typo-­‑tolerant ¡password ¡checking ¡ In-­‑depth ¡study ¡of ¡typos ¡in ¡user-­‑chosen ¡passwords ¡ Show ¡how ¡to ¡allow ¡typos ¡without ¡harming ¡security ¡ [Cha<erjee, ¡Athayle, ¡Akawhe, ¡Juels, ¡R. ¡– ¡Oakland ¡2016] ¡

  15. Back ¡to ¡our ¡big ¡picture ¡ tom ¡ tom ¡ password1 ¡ G K (password1) ¡ tom, ¡password1 ¡ alice ¡ alice ¡ 123456 ¡ G K (123456) ¡ bob ¡ bob ¡ G K (p@ssword!) ¡ p@ssword! ¡ Login ¡ ¡ server ¡ People ¡oUen ¡enter ¡ ¡ wrong ¡password: ¡ Passwords ¡databases ¡must ¡be ¡protected: ¡ -­‑ Typos ¡ -­‑ Server ¡compromise ¡ -­‑ Memory ¡errors ¡ -­‑ ExfiltraOon ¡a<acks ¡(e.g., ¡SQL ¡injecOon) ¡ Widespread ¡pracOce: ¡ -­‑ Apply ¡hashing ¡w/ ¡salts ¡ -­‑ Hope ¡slows ¡down ¡a<acks ¡enough ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Making Password Checking Systems Better Tom Ristenpart Covering joint work with: Anish Athayle,

Making Password Checking Systems Better Tom Ristenpart Covering joint work with: Anish Athayle,

Making Password Checking Systems Better Tom Ristenpart Covering joint work with: Anish Athayle, Devdatta Akawhe, Joseph Bonneau, Rahul Chatterjee, Anusha Chowdhury, Yevgeniy Dodis, Adam Everspaugh, Ari Juels, Yuval Pnueli, Sam Scott, Joanne

559 views • 43 slides
Proactive Password Checking Analyze proposed password for goodness Always invoked

Proactive Password Checking Analyze proposed password for goodness Always invoked

Proactive Password Checking Analyze proposed password for goodness Always invoked Can detect, reject bad passwords for an appropriate definition of bad Discriminate on per-user, per-site basis Needs to do

363 views • 21 slides
Honeywords Making Password-Cracking Detectable By Ari Juels and Ronald L. Rivest Presented by

Honeywords Making Password-Cracking Detectable By Ari Juels and Ronald L. Rivest Presented by

Honeywords Making Password-Cracking Detectable By Ari Juels and Ronald L. Rivest Presented by Nunzio Cicone and Hans-Peter Hllwirth Setting Password Attacks Passwords are a notoriously weak authentication mechanism One significant

422 views • 20 slides
The Making of a Secure Open Source Password Keeper from the electronics to the high-level

The Making of a Secure Open Source Password Keeper from the electronics to the high-level

The Making of a Secure Open Source Password Keeper from the electronics to the high-level software Mathieu Stephan Hello! I am Mathieu Stephan - Embedded systems engineer - Former writer for Hackaday - www.limpkin.fr - Mooltipass

913 views • 51 slides
3. Satisfiability Checking 3.1 SAT-Checking Procedures Verification Technology

3. Satisfiability Checking 3.1 SAT-Checking Procedures Verification Technology

Fachgebiet RechnerSysteme Technische Universitt Verification Technology Darmstadt 3. Satisfiability Checking Computer Systems Lab 1 3. Satisfiability Checking 3 3. Satisfiability Checking 3.1 SAT-Checking Procedures Verification

278 views • 11 slides
Hash Proof Systems and Password Protocols II Password-Authenticated Key Exchange David

Hash Proof Systems and Password Protocols II Password-Authenticated Key Exchange David

Hash Proof Systems and Password Protocols II Password-Authenticated Key Exchange David Pointcheval CNRS, Ecole normale sup erieure/PSL &amp; INRIA 8th BIU Winter School Key Exchange February 2018 CNRS/ENS/PSL/INRIA David

319 views • 14 slides
Hoare Logic and Model Checking 1. You should be able to model simple systems in NuSMV, an LTL

Hoare Logic and Model Checking 1. You should be able to model simple systems in NuSMV, an LTL

Hoare Logic and Model Checking 1. You should be able to model simple systems in NuSMV, an LTL Other interesting books: Model Checking by Clarke, Grumberg, and Peled Principles of Model Checking by Baier and Katoen 3 Course

636 views • 11 slides
Model Checking in Systems Biology s Brim and Milan ska and David Lubo Ce Safr

Model Checking in Systems Biology s Brim and Milan ska and David Lubo Ce Safr

Model Checking in Systems Biology s Brim and Milan ska and David Lubo Ce Safr anek Masaryk University Czech Republic SFM 2013 1/150 Outline Introduction 1 LTL Model Checking 2 Parallel LTL Model Checking 3 Discrete

2.18k views • 199 slides
Image Resizing / Goal: Mimic a be7er photographer by Retarge.ng improving image quality

Image Resizing / Goal: Mimic a be7er photographer by Retarge.ng improving image quality

10/4/16 Advanced Image Edi.ng Tools Image Resizing / Goal: Mimic a be7er photographer by Retarge.ng improving image quality Image retarge.ng (resize image) Image comple.on (erase and fill unwanted areas) Texture synthesis

340 views • 10 slides
Modeling and Analyzing Concurrent Systems using Model Checking Robert B. France 1 What is

Modeling and Analyzing Concurrent Systems using Model Checking Robert B. France 1 What is

Modeling and Analyzing Concurrent Systems using Model Checking Robert B. France 1 What is Model Checking? Model checking is an automated technique that, given a finite-state model of a system and a logical property , systematically

484 views • 36 slides
Model Checking Finite State Finite State Model Checking Finite State Systems

Model Checking Finite State Finite State Model Checking Finite State Systems

Model Checking Finite State Finite State Model Checking Finite State Systems Informationsteknologi System Description A No! Debugging Information TOOL TOOL Yes, Requirement F Prototypes C T L Executable Code Test sequences Tools:

637 views • 34 slides
Topic #27 Checking Nyquist Stability Reference textbook : Control Systems, Dhanesh N. Manik,

Topic #27 Checking Nyquist Stability Reference textbook : Control Systems, Dhanesh N. Manik,

ME 779 Control Systems Topic #27 Checking Nyquist Stability Reference textbook : Control Systems, Dhanesh N. Manik, Cengage Publishing, 2012 1 Control Systems: Checking Nyquist Stability Procedure (1) Locate open-loop poles on the s-plane

581 views • 25 slides
Checking Unwinding Conditions for Finite State Systems Deepak DSouza, Raghavendra K.R.

Checking Unwinding Conditions for Finite State Systems Deepak DSouza, Raghavendra K.R.

Checking Unwinding Conditions for Finite State Systems Deepak DSouza, Raghavendra K.R. Indian Institute of Science, Bangalore, India Checking Unwinding Conditions for Finite State Systems p.1/14 MAKS Framework of Heiko Events. V isible,

1.04k views • 56 slides
Type Checking General properties of type systems Types in programming languages

Type Checking General properties of type systems Types in programming languages

Outline Type Checking General properties of type systems Types in programming languages Notation for type rules Logical rules of inference Common type rules 2 Static Checking Static Checking (Cont.) Refers to

896 views • 10 slides
Making TLA + Model Checking Symbolic Igor Konnov Joining Interchain Foundation in August Jure

Making TLA + Model Checking Symbolic Igor Konnov Joining Interchain Foundation in August Jure

Making TLA + Model Checking Symbolic Igor Konnov Joining Interchain Foundation in August Jure Kukovec Thanh-Hai Tran VeriDis + Matryoushka seminar, Amsterdam, June 2019 Why TLA + ? Rich specification language TLA + is used in industry, e.g.,

699 views • 46 slides
Decision Making 1 Decision Making Skills Establishing a positive decision-making environment.

Decision Making 1 Decision Making Skills Establishing a positive decision-making environment.

Decision Making 1 Decision Making Skills Establishing a positive decision-making environment. Generating potential solutions. Evaluating the solutions. Deciding. How did you score? Checking the decision. Communicating and

938 views • 50 slides
An Introduction to by Erik Johnson What is Salt? Remote Execution Run commands or

An Introduction to by Erik Johnson What is Salt? Remote Execution Run commands or

An Introduction to by Erik Johnson What is Salt? Remote Execution Run commands or functions on many hosts at once Receive results asynchronously as each host returns data to the master Uses the ZeroMQ messaging library

929 views • 34 slides
CS6 Practical System Skills Fall 2019 edition Leonhard Spiegelberg lspiegel@cs.brown.edu

CS6 Practical System Skills Fall 2019 edition Leonhard Spiegelberg lspiegel@cs.brown.edu

CS6 Practical System Skills Fall 2019 edition Leonhard Spiegelberg lspiegel@cs.brown.edu Midterm results &amp; Logistics Midterm I average: 78.8% Midterm II average: 83% Final project presentations on 15th Dec @ CIT 3pm - 5pm

640 views • 33 slides
trans: Name Redaction &amp; RFC6962-bis Eran Messeri, Google, eranm@google.com Definition: Name

trans: Name Redaction &amp; RFC6962-bis Eran Messeri, Google, eranm@google.com Definition: Name

trans: Name Redaction &amp; RFC6962-bis Eran Messeri, Google, eranm@google.com Definition: Name Redaction The ability to avoid publishing domain names, in whole or partially, in Certificate Transparency logs. Name redaction: Missing goals

248 views • 7 slides
Moving to client-side hashing for online authentication Enka Blanchard 1 Xavier Coquand 2 Ted

Moving to client-side hashing for online authentication Enka Blanchard 1 Xavier Coquand 2 Ted

Moving to client-side hashing for online authentication Enka Blanchard 1 Xavier Coquand 2 Ted Selker 3 Digitrust, Loria, Universit e de Lorraine, www.koliaza.com Bsecure, Paris University of Maryland, Baltimore County 9th International

1.02k views • 18 slides
Modeling and Solving the Mixing of Liquids Bernd Schr oder logo1 Bernd Schr oder

Modeling and Solving the Mixing of Liquids Bernd Schr oder logo1 Bernd Schr oder

Overview An Example Double Check Units Reprised Modeling and Solving the Mixing of Liquids Bernd Schr oder logo1 Bernd Schr oder Louisiana Tech University, College of Engineering and Science Modeling and Solving the Mixing of Liquids

975 views • 68 slides
Salt intake and the risk of heart failure Pekka Jousilahti, MD, PhD, Research Professor et Kennet

Salt intake and the risk of heart failure Pekka Jousilahti, MD, PhD, Research Professor et Kennet

Salt intake and the risk of heart failure Pekka Jousilahti, MD, PhD, Research Professor et Kennet Harald, Antti Jula, Tiina Laatikainen, Satu Mnnist, Markku Peltonen, Markus Perola, Pekka Puska, Veikko Salomaa, Jaakko Tuomilehto, Liisa Valsta

305 views • 6 slides
Critical Reasoning for Beginners: week one Marianne Talbot Department for Continuing Education

Critical Reasoning for Beginners: week one Marianne Talbot Department for Continuing Education

Critical Reasoning for Beginners: week one Marianne Talbot Department for Continuing Education University of Oxford Michaelmas 2009 Today we shall be looking at: (i) the nature of arguments (ii) how to recognise arguments

566 views • 24 slides
A2: Broken Authentication and Session Management But first Authentication, Authorization,

A2: Broken Authentication and Session Management But first Authentication, Authorization,

A2: Broken Authentication and Session Management But first Authentication, Authorization, Sessions Authentication Determining user identity Multiple ways What you know (password) What you have (phone, RSA SecureID, Yubikey)

1.57k views • 28 slides

More recommend