making password checking systems be7er
play

Making Password Checking Systems Be7er Tom Ristenpart - PowerPoint PPT Presentation

Jul 05, 2023 •94 likes •414 views

Making Password Checking Systems Be7er Tom Ristenpart Covering joint work with: Anish Athayle, Devda<a Akawhe, Joseph Bonneau, Rahul Cha<erjee, Adam

  1. Making ¡Password ¡Checking ¡ Systems ¡Be7er ¡ Tom ¡Ristenpart ¡ Covering ¡joint ¡work ¡with: ¡ Anish ¡Athayle, ¡Devda<a ¡Akawhe, ¡Joseph ¡Bonneau, ¡Rahul ¡Cha<erjee, ¡ Adam ¡Everspaugh, ¡Ari ¡Juels, ¡Sam ¡Sco< ¡

  2. Password ¡checking ¡systems ¡ tom ¡ password1 ¡ tom, ¡password1 ¡ alice ¡ 123456 ¡ bob ¡ p@ssword! ¡ Login ¡ ¡ server ¡ (plus ¡hundreds ¡of ¡millions ¡more) ¡ Allow ¡login ¡if: ¡ A<ack ¡detecOon ¡mechanisms ¡don’t ¡flag ¡request ¡ Password ¡matches ¡ SomeOmes: ¡ ¡second ¡factor ¡succeeds ¡

  3. Problems ¡w/ ¡password ¡checking ¡systems ¡ tom ¡ password1 ¡ tom, ¡password1 ¡ alice ¡ 123456 ¡ bob ¡ p@ssword! ¡ Login ¡ ¡ server ¡ People ¡oUen ¡enter ¡ ¡ wrong ¡password: ¡ Passwords ¡databases ¡must ¡be ¡protected: ¡ -­‑ Typos ¡ -­‑ Server ¡compromise ¡ -­‑ Memory ¡errors ¡ -­‑ ExfiltraOon ¡a<acks ¡(e.g., ¡SQL ¡injecOon) ¡ Widespread ¡pracOce: ¡ -­‑ Apply ¡hashing ¡w/ ¡salts ¡ -­‑ Hope ¡slows ¡down ¡a<acks ¡enough ¡

  4. Today’s ¡talk ¡ Pythia : ¡moving ¡beyond ¡“hash ¡& ¡hope” ¡ Harden ¡hashes ¡with ¡off-­‑system ¡secret ¡key ¡using ¡ ¡ par$ally ¡oblivious ¡pseudorandom ¡func$on ¡ protocol ¡ [Everspaugh, ¡Cha<erjee, ¡Sco<, ¡Juels, ¡R. ¡– ¡USENIX ¡Security ¡2015] ¡ Typo-­‑tolerant ¡password ¡checking ¡ In-­‑depth ¡study ¡of ¡typos ¡in ¡user-­‑chosen ¡passwords ¡ Show ¡how ¡to ¡allow ¡typos ¡without ¡harming ¡security ¡ [Cha<erjee, ¡Athayle, ¡Akawhe, ¡Juels, ¡R. ¡– ¡Oakland ¡2016] ¡

  5. Password ¡checking ¡systems ¡ tom ¡ tom ¡ password1 ¡ salt 1 ¡, ¡H c (password1,salt 1 ) ¡ tom, ¡password1 ¡ alice ¡ alice ¡ 123456 ¡ salt 2 ¡, ¡H c (123456,salt 2 ) ¡ bob ¡ bob ¡ p@ssword! ¡ salt 3 ¡, ¡H c (p@ssword!,salt 3 ) ¡ Login ¡ ¡ server ¡ Websites ¡should ¡ never ¡store ¡passwords ¡directly, ¡ ¡ they ¡should ¡be ¡(at ¡least) ¡hashed ¡with ¡a ¡salt ¡(also ¡stored) ¡ Cryptographic ¡hash ¡funcOon ¡H ¡ c ¡Omes ¡ ¡ (H ¡= ¡SHA-­‑256, ¡SHA-­‑512, ¡etc.) ¡ Common ¡choice ¡is ¡ ¡c ¡= ¡10,000 ¡ … ¡ H ¡ H ¡ H ¡ pw||salt ¡ Be<er: ¡ ¡scrypt, ¡argon2 ¡ UNIX ¡password ¡hashing ¡scheme, ¡PKCS ¡#5 ¡ Formal ¡analyses: ¡ ¡[Wagner, ¡Goldberg ¡2000] ¡[Bellare, ¡R., ¡Tessaro ¡2012] ¡

  6. Password ¡database ¡compromises ¡ … ¡ year ¡ % ¡recovered ¡ format ¡ # ¡stolen ¡ 2012 ¡ 100% ¡ plaintext ¡(!) ¡ 32.6 ¡million ¡ 2012 ¡ 90% ¡ Unsalted ¡SHA-­‑1 ¡ 117 ¡million ¡ 2013 ¡ ?? ¡ ECB ¡encrypOon ¡ 36 ¡million ¡ Salted ¡bcrypt ¡ 2015 ¡ 36 ¡million ¡ 33% ¡ + ¡MD5 ¡ … ¡

  7. (1) ¡Password ¡protecOons ¡oUen ¡implemented ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡incorrectly ¡in ¡pracOce ¡ (2) ¡Even ¡in ¡best ¡case, ¡hashing ¡slows ¡down ¡but ¡ ¡ ¡does ¡not ¡prevent ¡offline ¡brute-­‑force ¡cracking ¡

  8. Facebook ¡password ¡onion ¡ $cur ¡ ¡= ¡‘password’ ¡ $cur ¡ ¡= ¡md5($cur) ¡ $salt ¡= ¡randbytes(20) ¡ $cur ¡ ¡= ¡hmac_sha1($cur, ¡$salt) ¡ $cur ¡ ¡= ¡remote_hmac_sha256($cur, ¡$secret) ¡ $cur ¡ ¡= ¡scrypt($cur, ¡$salt) ¡ $cur ¡ ¡= ¡hmac_sha256($cur, ¡$salt) ¡

  9. Strengthening ¡password ¡hash ¡storage ¡ tom, ¡password1 ¡ h ¡ K ¡ f ¡= ¡HMAC(K, ¡h) ¡ Back-­‑end ¡ ¡ crypto ¡ ¡ h ¡= ¡H c (password1|| ¡salt) ¡ service ¡ Store ¡salt, ¡f ¡ HMAC ¡is ¡pseudorandom ¡funcOon ¡(PRF). ¡ f’ ¡= ¡H c (123456 ¡|| ¡salt) ¡ f ¡= ¡f’? ¡ f’ ¡= ¡HMAC(K, ¡h’) ¡ K ¡ Back-­‑end ¡ ¡ H c (1234567 ¡|| ¡salt) ¡ Must ¡sOll ¡perform ¡online ¡ ¡ crypto ¡ ¡ service ¡ brute-­‑force ¡a<ack ¡ H c (12345 ¡|| ¡salt) ¡ ¡ ExfiltraOon ¡doesn’t ¡help ¡ … ¡

  10. Strengthening ¡password ¡hash ¡storage ¡ tom, ¡password1 ¡ h ¡ K ¡ f ¡= ¡HMAC(K, ¡h) ¡ Back-­‑end ¡ ¡ crypto ¡ ¡ h ¡= ¡H c (password1|| ¡salt) ¡ service ¡ Store ¡salt, ¡f ¡ CriDcal ¡limitaDon: ¡ ¡can’t ¡rotate ¡K ¡to ¡a ¡new ¡secret ¡K’ ¡ • Idea ¡1: ¡Version ¡database ¡and ¡update ¡as ¡users ¡log ¡in ¡ § But ¡doesn’t ¡update ¡old ¡hashes ¡ • Idea ¡2: ¡Invalidate ¡old ¡hashes ¡ § But ¡requires ¡password ¡reset ¡ • Idea ¡3: ¡Use ¡secret-­‑key ¡encrypOon ¡instead ¡of ¡PRF ¡ § But ¡requires ¡sending ¡keys ¡to ¡web ¡server ¡(or ¡high ¡bandwidth) ¡

  11. The ¡Pythia ¡PRF ¡Service ¡ Blinding ¡means ¡service ¡learns ¡ nothing ¡about ¡passswords ¡ tom, ¡password1 ¡ user ¡id, ¡blinded ¡h ¡ K ¡ Blinded ¡PRF ¡output ¡f ¡ Back-­‑end ¡ ¡ crypto ¡ ¡ h ¡= ¡H c (password1|| ¡salt) ¡ service ¡ Blind ¡h, ¡pick ¡user ¡ID ¡ User ¡ID ¡reveals ¡fine-­‑grained ¡query ¡ Unblind ¡PRF ¡output ¡f ¡ pa<erns ¡to ¡service. ¡ ¡ Store ¡user ¡ID, ¡salt, ¡f ¡ Compromise ¡detecOon ¡& ¡rate ¡limiOng ¡ Cryptographically ¡erases ¡ ¡f: ¡ Useless ¡to ¡a<acker ¡in ¡the ¡future ¡ Combine ¡token ¡and ¡f ¡ ¡ K ¡ to ¡generate ¡f’ ¡= ¡F(K’,h) ¡ Token(K-­‑>K’) ¡ Back-­‑end ¡ ¡ crypto ¡ ¡ Server ¡learns ¡nothing ¡ K’ ¡ service ¡ about ¡K ¡or ¡K’ ¡

  12. New ¡crypto: ¡parDally-­‑oblivious ¡PRF ¡ Groups ¡G 1 ¡, ¡G 2 ¡, ¡G T ¡w/ ¡ ¡ ¡bilinear ¡pairing ¡e ¡: ¡G 1 ¡x ¡G 2 ¡-­‑> ¡G T ¡ ¡ ¡ ¡ ¡ ¡ ¡e(a x ,b y ) ¡= ¡c xy ¡ K ¡ tom, ¡password1 ¡ user ¡id, ¡h r ¡ y ¡ t ¡= ¡H(user ¡id) ¡ y ¡= ¡e(t K ,h r ) ¡ h ¡= ¡H c (password1|| ¡salt) ¡ Choose ¡random ¡r ¡ f ¡= ¡y 1/r ¡ Store ¡user ¡ID, ¡salt, ¡f ¡ f ¡ ¡ ¡= ¡ ¡ ¡e(t K ,h r ) 1/r ¡ ¡ ¡= ¡ ¡ ¡e(t,h) Kr*1/r ¡ ¡ ¡ ¡ = ¡ ¡ ¡ ¡e(t,h) K ¡ • Pairing ¡cryptographically ¡binds ¡user ¡id ¡with ¡password ¡hash ¡ • Can ¡add ¡verifiability ¡(proof ¡that ¡PRF ¡properly ¡applied) ¡ • Key ¡rotaOon ¡straigh•orward: ¡ ¡ ¡ ¡ ¡Token(K ¡-­‑> ¡K’) ¡ ¡= ¡ ¡K ’ ¡ / ¡ K ¡ • InteresOng ¡formal ¡security ¡analysis ¡(see ¡paper) ¡

  13. The ¡Pythia ¡PRF ¡Service ¡ § Queries ¡are ¡fast ¡despite ¡pairings ¡ • PRF ¡query: ¡ ¡ ¡11.8 ¡ms ¡ ¡(LAN) ¡ ¡ ¡ ¡ ¡ ¡ ¡96 ¡ms ¡ ¡(WAN) ¡ § Parallelizable ¡password ¡onions ¡ ¡ • H c ¡ ¡and ¡PRF ¡query ¡made ¡in ¡parallel ¡(hides ¡latency) ¡ § MulO-­‑tenant ¡(theoreOcally: ¡scales ¡to ¡100 ¡million ¡login ¡servers) ¡ § Easy ¡to ¡deploy ¡ • Open-­‑source ¡reference ¡implementaOon ¡at ¡ ¡ ¡ ¡ ¡ ¡h<p://pages.cs.wisc.edu/~ace/pythia.html ¡

  14. Today’s ¡talk ¡ Pythia : ¡moving ¡beyond ¡“hash ¡& ¡hope” ¡ Harden ¡hashes ¡with ¡off-­‑system ¡secret ¡key ¡using ¡ ¡ par$ally ¡oblivious ¡pseudorandom ¡func$on ¡ protocol ¡ [Everspaugh, ¡Cha<erjee, ¡Sco<, ¡Juels, ¡R. ¡– ¡USENIX ¡Security ¡2015] ¡ Typo-­‑tolerant ¡password ¡checking ¡ In-­‑depth ¡study ¡of ¡typos ¡in ¡user-­‑chosen ¡passwords ¡ Show ¡how ¡to ¡allow ¡typos ¡without ¡harming ¡security ¡ [Cha<erjee, ¡Athayle, ¡Akawhe, ¡Juels, ¡R. ¡– ¡Oakland ¡2016] ¡

  15. Back ¡to ¡our ¡big ¡picture ¡ tom ¡ tom ¡ password1 ¡ G K (password1) ¡ tom, ¡password1 ¡ alice ¡ alice ¡ 123456 ¡ G K (123456) ¡ bob ¡ bob ¡ G K (p@ssword!) ¡ p@ssword! ¡ Login ¡ ¡ server ¡ People ¡oUen ¡enter ¡ ¡ wrong ¡password: ¡ Passwords ¡databases ¡must ¡be ¡protected: ¡ -­‑ Typos ¡ -­‑ Server ¡compromise ¡ -­‑ Memory ¡errors ¡ -­‑ ExfiltraOon ¡a<acks ¡(e.g., ¡SQL ¡injecOon) ¡ Widespread ¡pracOce: ¡ -­‑ Apply ¡hashing ¡w/ ¡salts ¡ -­‑ Hope ¡slows ¡down ¡a<acks ¡enough ¡

Recommend

Making Password Checking Systems Better Tom Ristenpart Covering joint work with: Anish Athayle,

Making Password Checking Systems Better Tom Ristenpart Covering joint work with: Anish Athayle,

Making Password Checking Systems Better Tom Ristenpart Covering joint work with: Anish Athayle, Devdatta Akawhe, Joseph Bonneau, Rahul Chatterjee, Anusha Chowdhury, Yevgeniy Dodis, Adam Everspaugh, Ari Juels, Yuval Pnueli, Sam Scott, Joanne

559 views • 43 slides
Proactive Password Checking Analyze proposed password for goodness Always invoked

Proactive Password Checking Analyze proposed password for goodness Always invoked

Proactive Password Checking Analyze proposed password for goodness Always invoked Can detect, reject bad passwords for an appropriate definition of bad Discriminate on per-user, per-site basis Needs to do

363 views • 21 slides
Honeywords Making Password-Cracking Detectable By Ari Juels and Ronald L. Rivest Presented by

Honeywords Making Password-Cracking Detectable By Ari Juels and Ronald L. Rivest Presented by

Honeywords Making Password-Cracking Detectable By Ari Juels and Ronald L. Rivest Presented by Nunzio Cicone and Hans-Peter Hllwirth Setting Password Attacks Passwords are a notoriously weak authentication mechanism One significant

422 views • 20 slides
The Making of a Secure Open Source Password Keeper from the electronics to the high-level

The Making of a Secure Open Source Password Keeper from the electronics to the high-level

The Making of a Secure Open Source Password Keeper from the electronics to the high-level software Mathieu Stephan Hello! I am Mathieu Stephan - Embedded systems engineer - Former writer for Hackaday - www.limpkin.fr - Mooltipass

913 views • 51 slides
3. Satisfiability Checking 3.1 SAT-Checking Procedures Verification Technology

3. Satisfiability Checking 3.1 SAT-Checking Procedures Verification Technology

Fachgebiet RechnerSysteme Technische Universitt Verification Technology Darmstadt 3. Satisfiability Checking Computer Systems Lab 1 3. Satisfiability Checking 3 3. Satisfiability Checking 3.1 SAT-Checking Procedures Verification

278 views • 11 slides
Hash Proof Systems and Password Protocols II Password-Authenticated Key Exchange David

Hash Proof Systems and Password Protocols II Password-Authenticated Key Exchange David

Hash Proof Systems and Password Protocols II Password-Authenticated Key Exchange David Pointcheval CNRS, Ecole normale sup erieure/PSL &amp; INRIA 8th BIU Winter School Key Exchange February 2018 CNRS/ENS/PSL/INRIA David

319 views • 14 slides
Hoare Logic and Model Checking 1. You should be able to model simple systems in NuSMV, an LTL

Hoare Logic and Model Checking 1. You should be able to model simple systems in NuSMV, an LTL

Hoare Logic and Model Checking 1. You should be able to model simple systems in NuSMV, an LTL Other interesting books: Model Checking by Clarke, Grumberg, and Peled Principles of Model Checking by Baier and Katoen 3 Course

636 views • 11 slides
Model Checking in Systems Biology s Brim and Milan ska and David Lubo Ce Safr

Model Checking in Systems Biology s Brim and Milan ska and David Lubo Ce Safr

Model Checking in Systems Biology s Brim and Milan ska and David Lubo Ce Safr anek Masaryk University Czech Republic SFM 2013 1/150 Outline Introduction 1 LTL Model Checking 2 Parallel LTL Model Checking 3 Discrete

2.18k views • 199 slides
Image Resizing / Goal: Mimic a be7er photographer by Retarge.ng improving image quality

Image Resizing / Goal: Mimic a be7er photographer by Retarge.ng improving image quality

10/4/16 Advanced Image Edi.ng Tools Image Resizing / Goal: Mimic a be7er photographer by Retarge.ng improving image quality Image retarge.ng (resize image) Image comple.on (erase and fill unwanted areas) Texture synthesis

340 views • 10 slides
Modeling and Analyzing Concurrent Systems using Model Checking Robert B. France 1 What is

Modeling and Analyzing Concurrent Systems using Model Checking Robert B. France 1 What is

Modeling and Analyzing Concurrent Systems using Model Checking Robert B. France 1 What is Model Checking? Model checking is an automated technique that, given a finite-state model of a system and a logical property , systematically

484 views • 36 slides
Model Checking Finite State Finite State Model Checking Finite State Systems

Model Checking Finite State Finite State Model Checking Finite State Systems

Model Checking Finite State Finite State Model Checking Finite State Systems Informationsteknologi System Description A No! Debugging Information TOOL TOOL Yes, Requirement F Prototypes C T L Executable Code Test sequences Tools:

637 views • 34 slides
Topic #27 Checking Nyquist Stability Reference textbook : Control Systems, Dhanesh N. Manik,

Topic #27 Checking Nyquist Stability Reference textbook : Control Systems, Dhanesh N. Manik,

ME 779 Control Systems Topic #27 Checking Nyquist Stability Reference textbook : Control Systems, Dhanesh N. Manik, Cengage Publishing, 2012 1 Control Systems: Checking Nyquist Stability Procedure (1) Locate open-loop poles on the s-plane

581 views • 25 slides
Checking Unwinding Conditions for Finite State Systems Deepak DSouza, Raghavendra K.R.

Checking Unwinding Conditions for Finite State Systems Deepak DSouza, Raghavendra K.R.

Checking Unwinding Conditions for Finite State Systems Deepak DSouza, Raghavendra K.R. Indian Institute of Science, Bangalore, India Checking Unwinding Conditions for Finite State Systems p.1/14 MAKS Framework of Heiko Events. V isible,

1.04k views • 56 slides
Type Checking General properties of type systems Types in programming languages

Type Checking General properties of type systems Types in programming languages

Outline Type Checking General properties of type systems Types in programming languages Notation for type rules Logical rules of inference Common type rules 2 Static Checking Static Checking (Cont.) Refers to

896 views • 10 slides
Making TLA + Model Checking Symbolic Igor Konnov Joining Interchain Foundation in August Jure

Making TLA + Model Checking Symbolic Igor Konnov Joining Interchain Foundation in August Jure

Making TLA + Model Checking Symbolic Igor Konnov Joining Interchain Foundation in August Jure Kukovec Thanh-Hai Tran VeriDis + Matryoushka seminar, Amsterdam, June 2019 Why TLA + ? Rich specification language TLA + is used in industry, e.g.,

699 views • 46 slides
Decision Making 1 Decision Making Skills Establishing a positive decision-making environment.

Decision Making 1 Decision Making Skills Establishing a positive decision-making environment.

Decision Making 1 Decision Making Skills Establishing a positive decision-making environment. Generating potential solutions. Evaluating the solutions. Deciding. How did you score? Checking the decision. Communicating and

938 views • 50 slides
Directed Model Checking (not only) for Timed Automata Sebastian Kupferschmid March, 2010 Model

Directed Model Checking (not only) for Timed Automata Sebastian Kupferschmid March, 2010 Model

Directed Model Checking (not only) for Timed Automata Sebastian Kupferschmid March, 2010 Model Checking Motivation Embedded Systems Omnipresent Safety relevant systems Pentium bug Ariane 5 Errors can be extremely harmful Correct

837 views • 67 slides
Liveness Checking as Safety Checking to Find Shortest Counterexamples to Linear Time Properties

Liveness Checking as Safety Checking to Find Shortest Counterexamples to Linear Time Properties

Liveness Checking as Safety Checking to Find Shortest Counterexamples to Linear Time Properties Viktor Schuppan Computer Systems Institute, ETH Z urich http://www.inf.ethz.ch/schuppan/ Defense Thesis ETH 16268 September 28, 2005, Z

382 views • 19 slides
Team Password Manager Password Management Software for Groups http://teampasswordmanager.com

Team Password Manager Password Management Software for Groups http://teampasswordmanager.com

Team Password Manager Password Management Software for Groups http://teampasswordmanager.com What is Team Password Manager - Password manager for groups and projects - Uses projects to group passwords - Secure, fine grained password sharing -

712 views • 9 slides
Cisco Passwords - Enforcing Minimum Password Length Common Types of Password Attacks Brute-Force

Cisco Passwords - Enforcing Minimum Password Length Common Types of Password Attacks Brute-Force

Cisco Passwords - Enforcing Minimum Password Length Common Types of Password Attacks Brute-Force Attack - tries every possible character combination as a password. To recover a single-letter password would require up to 26 combinations. A

415 views • 8 slides
CMPSC 497 Password Authentication Trent Jaeger Systems and Internet Infrastructure Security

CMPSC 497 Password Authentication Trent Jaeger Systems and Internet Infrastructure Security

Systems and Internet Infrastructure Security Network and Security Research Center Department of Computer Science and Engineering Pennsylvania State University, University Park PA CMPSC 497 Password Authentication Trent Jaeger Systems and

582 views • 31 slides
Toward Online Hybrid Systems Model Checking of Cyber-Physical Systems Time-Bounded Short-Run

Toward Online Hybrid Systems Model Checking of Cyber-Physical Systems Time-Bounded Short-Run

Toward Online Hybrid Systems Model Checking of Cyber-Physical Systems Time-Bounded Short-Run Behavior Lei Bu*, Qixin Wang , Xin Chen*, Linzhang Wang*, Tian Zhang*, Jianhua Zhao*, and Xuandong Li* *Nanjing University, The Hong Kong

395 views • 21 slides
Model-checking in systems biology - From Micro to Macro 1 / 62 00001 - 00:00:01 Model-checking

Model-checking in systems biology - From Micro to Macro 1 / 62 00001 - 00:00:01 Model-checking

Model-checking in systems biology - From Micro to Macro 1 / 62 00001 - 00:00:01 Model-checking in systems biology - From Micro to Macro 2 / 62 00002 - 00:02:20 Model-checking in systems biology - From Micro to Macro 3 / 62 00003 - 00:02:30

977 views • 62 slides
Context-Bounded Model Checking of LTL Properties for ANSI-C Software Jeremy Morse, Lucas

Context-Bounded Model Checking of LTL Properties for ANSI-C Software Jeremy Morse, Lucas

Context-Bounded Model Checking of LTL Properties for ANSI-C Software Jeremy Morse, Lucas Cordeiro, Bernd Fischer, Denis Nicole Model Checking C Model checking: normally applied to formal state transition systems checks safety and

439 views • 17 slides

More recommend