Honey-sanojen käyttö voi paljastaa salasanan keksejä

Kun yhä useammat kuluttajat, joiden salasanat ovat vaarantuneet päivittäin, tutkijoiden parissa on kelluva ajatus, jonka mukaan heillä on tarkoitus auttaa digitaalisten tunnistetietojen käärimistä.

He ehdottavat verkkosivuston salasanatietokannan suolaamista, jossa on paljon vääriä salasanoja "Salasanatietokannan salasanat ovat tyypillisesti" hajautettuja "tai salattuja, jotta heidän salassapitovelvollisuutensa suojataan.

" Vastustaja, joka varastaa hajautetun salasanan tiedoston ja kääntää hash-toiminnon, ei voi selvittää, onko hän löytänyt salasanan tai hunajan, "Ari Juels of RSA Labs ja MIT professori Ronald L. Rivest kirjoitti paperiversio nimeltään Honeywords: Making Password-cracking havaittavissa, joka julkaistiin viime viikolla.

[Lue lisää: Kuinka poistaa haittaohjelmia tuulta ower PC]

"Honeywordin yritetty käyttää kirjautumista herättää hälytyksen", he lisäsivät.

Miten se toimisi

Salasanatietokanta salasanalla honey-sanojen kanssa liitetään palvelimeen, joka on tarkoitettu yksinomaan voimassa olevien salasanojen ja hunajasanojen välillä. Kun havaitsee honeywordin, jolla kirjaudutaan tiliin, se ilmoittaa tapahtuman sivuston ylläpitäjälle, joka voi lukita tilin alas.

Honey-sanojen käyttäminen ei estä hakkereita rikkomasta verkkosivustoasi ja salasi salasanoja, mutta se ilmoittaa verkkosivuston ylläpitäjille siitä, että rikkominen on tapahtunut.

"Se on erittäin arvokas", sanoo Rapid Wardin tietoturva-insinööri Ross Barrett, kertoi PCWorldille, erityisesti kun otetaan huomioon, kuinka kauan se on paljastanut monia näistä

"Kompromissien havaitsemisen keskimääräinen aika on kuusi kuukautta," hän sanoi, "ja se on kasvanut viime vuodesta."

Jos hakkerit tietävät, että sivusto käyttää hunajasanoja ja tilit lukitaan automaattisesti kun käytetään hunajan sanaa, honey-sanoja voidaan tosiasiallisesti käyttää luomaan palvelunestohyökkäys sivustoon.

Järjestelmä antaa hyökkääjille myös toisen potentiaalisen kohteen: honeychecker. Jos tarkkailijan ja WWW-palvelimen väliset viestit ovat häiriintyneet, verkkosivusto saattaa kaatua.

Vaikka honeychecker on vaarantunut, verkkosivustooperaattori on silti parempi kuin honey-sanat kuin ilman niitä, Barrett väitti.

"Se oli todennäköisesti paljon vaikeampi hakkereiden murtautua heidän verkkosivuilleen kuin jos heillä ei olisi ollut hunajakajaa", hän sanoi.

Juels ja Rivest suosittelevat paperissaan, että honeychecker erotetaan tietokoneesta

"Nämä kaksi järjestelmää voidaan sijoittaa eri hallinnollisiin verkkoihin, käyttää eri käyttöjärjestelmiä ja niin edelleen", he kirjoittavat.

Honeychecker voidaan myös suunnitella niin, että se ei suoraan liity Internetin kanssa, mikä myös vähentää hyökkääjän kykyä torjua sen, Barrett totesi.

Ei täydellinen korjaus

Honey-sanojen käyttö ei aio estää hakkereita salata salasanatietokantoja ja rikkoa niiden salaisuuksia, Juels ja Rivest tunnustakaa.

MIT Professori Ronal d. L. Rivest

"Kuitenkin," he lisäävät paperissaan, "suuri ero hunajan käyttämisessä on se, että menestyvä brute-force-salasanan tauko ei anna vastustajalle luottamusta siihen, että hän voi kirjautua sisään onnistuneesti ja huomaamatta."

"Honeycheckerin käyttö", kertoivat kirjoittajat, "täten pakottaa vastustajan joko riskiin kirjautumiseen suurella todennäköisyydellä selvittääksesi salasanan hash-kompromissin … tai yrittää houkutella honeycheckerin kompromisseja hyvin. "

Tutkijat myöntävät, että honey-sanat eivät ole täysin tyydyttävä ratkaisu käyttäjän todentamiseen verkossa, koska järjestelmässä on monia tunnettuja salasanojen ongelmia ja" jotain tiedät "todennus yleensä.

" Lopulta "he kirjoittaisivat", salasanoja olisi täydennettävä vahvemmilla ja kätevillä autentikointimenetelmillä … tai annettava mahdollisuus parempien todentamismenetelmien täydelliseen käyttöön. "