A "honeywords" használata felfedheti a jelszó-cracker-eket

Azt javasolják, hogy egy weboldal jelszóadatát sózzuk sok hamis jelszóval "A jelszóadatbázisok jelszavait általában" hashed "vagy kódolták, hogy megvédjék titkosságukat.

" Az ellenség, aki ellop egy fájlt törölt jelszavakkal, és befordítja a hash függvényt, nem tudja megmondani, hogy megtalálta-e a jelszót vagy a honeyword, "Az RSA Labs Ari Juelei és az MIT professzor Ronald L. Rivest írta a Honeywords című cikket: A múlt héten kiadott Jelszó-repedés detektálhatóvá tétele.

[További olvasmány: Hogyan távolítsunk el kártékony programokat a széléről

"A honeyword kísérleti használata a bejelentkezéshez kikapcsolja a riasztást" - tette hozzá.

Hogyan működik

A honeyword-kkal sújtott jelszóadatbázis egy olyan kiszolgálóhoz lett csatlakoztatva, amely kizárólag a érvényes jelszavak és honey-szavak között. Amikor észleli a fiókba való bejelentkezéshez használt honeyword-t, figyelmezteti az eseménynek egy webhely rendszergazdáját, aki le tudja zárni a fiókot.

A honey-szavak használata nem akadályozza meg a hackereket abban, hogy megsértsék webhelyét, és ellopják a jelszavát. figyelmeztetni fogja a weboldal üzemeltetőit, hogy a szabálysértés bekövetkezett.

"Ez nagyon értékes", mondta Ross Barrett, a Rapid7 biztonsági mérnöki vezetője a PCWorld-nek - különösen annak fényében, hogy sokáig "A kompromisszum észlelésének átlagos időtartama hat hónap," mondta, "és ez az elmúlt évhez képest nőtt."

Ha azonban a hackerek tudták, hogy egy webhely honey-szót használ, és a számlákat automatikusan bezárják amikor egy honeyword-t használnak, a honey-szavakat valóban arra használhatnák, hogy létrehozzák a szolgáltatásmegtagadási támadást a webhelyen.

A rendszer a támadók számára egy másik lehetséges célpontot is jelent: a honeychecker. Ha az ellenőrző és a webszerver közötti kommunikáció megzavart, akkor a weboldal összeomolhat.

Még ha a méhsejtgépet is veszélyezteti, bár a weboldal üzemeltetője még mindig jobb a honeywordokkal, mint nélküle, Barrett vitatkozott.

"Valószínűleg sokkal nehezebb volt, hogy a hackerek bejussanak a weboldalukba, mintha nem rendelkeznének honeycheckerrel." Juele és Rivest a papírjukban javasolják, hogy a honeycheckeret elválasztják a számítógéptől

"A két rendszer különbözõ adminisztratív területeken helyezhetõ el, különbözõ operációs rendszereket futtathat, stb."

A méregellenõrzõt úgy is megtervezhetjük, hogy ne közvetlenül kapcsolódjon az interneten keresztül, ami csökkenti a támadó képességét arra, hogy feltörje, Barrett megjegyezte:

Nincs teljes javítás

A honeywords használata nem fogja megakadályozni a hackerek számára, hogy ellopják a jelszóadatbázisokat és titkaikat, Jueleket és Rivestet tudomásul veszem.

MIT professzor Ronal d. Rivest

"Mindazonáltal" hozzáteszik a cikkükben: "a nagy különbség, amikor a honey-szavakat használják, az, hogy egy sikeres bátorságos jelszószünet nem ad az ellenfél bizalmát, hogy sikeresen és észrevétlenül tud bejelentkezni."

"A honeychecker használatát" - írják a szerzők -, ezért ellensége támad, hogy vagy a bejelentkezés veszélye nagy valószínűséggel okozza a jelszó hash kompromisszumának észlelését … vagy pedig megpróbálja megakadályozni a méregtelenítőt "

A kutatók elismerik, hogy a honey-szavak nem teljesen kielégítő megoldást jelentenek a felhasználók hitelesítésére a Neten, mert a rendszer számos ismert jelszóproblémát tartalmaz, és általában" valami-tudod-e "hitelesítést.

" Végül, "írtak", a jelszavakat ki kell egészíteni erősebb és kényelmesebb hitelesítési módszerekkel … vagy hagyni kell a jobb hitelesítési módszerek használatát. "