Použití 'honeywords' může vystavit heslo crackery

Navrhují slaní databáze hesel webových stránek se spoustou falešných hesel Hesla v databázích hesel jsou typicky "šachována" nebo zkrácena, aby se zabránilo jejich utajení.

"Protivník, který ukradl soubor hesel a převrátil funkci hash, nemůže zjistit, zda nalezl heslo nebo medonos, "Ari Juels z laboratoří RSA a profesor MIT Ronald L. Rivest napsal v papíře s názvem Honeywords: Zjišťování hesel, které bylo vydáno minulý týden.

[Další informace: Jak odstranit malware z vašeho větru ows PC]

"Pokus o použití honeyword pro přihlášení zapíná alarm," dodali.

Jak by to fungovalo

Databáze hesel olovená s honeywords by byla připojena do serveru určeného výhradně k rozlišování mezi platnými hesly a honeywords. Když detekuje honeyword, který se používá pro přihlášení k účtu, upozorní administrátora události, který může účet uzamknout.

Použití honeywords nebrání hackerům v porušování vašich webových stránek a krádeží vašich hesel. bude to upozornit provozovatele webové stránky, že došlo k porušení.

"To je velmi cenné," řekl Ross Barrett, senior manažer bezpečnostního inženýrství společnosti Rapid7 pro PCWorld - zejména s ohledem na to, jak dlouho trvá odhalování mnoha z nich "Průměrná doba pro zjištění kompromisu je šest měsíců," řekl, "a to se zvýšilo od loňského roku."

Nicméně, pokud by hackeři věděli, že stránky používají honeywords a účty jsou automaticky uzamčeny když se používá honeyword, honeywords mohou být skutečně použity k vytvoření útoku typu "odmítnutí služby" na webu.

Systém také dává útočníkům další potenciální cíl: honeychecker. Pokud je komunikace mezi kontrolou a webovým serverem narušena, může dojít ke zhroucení webu.

I když je ohrožena kontrola honeyhope, operátor webových stránek je stále lepší s honeywords než bez nich, tvrdí Barrett.

"Bylo pravděpodobně mnohem těžší, aby se ti hackeři dostali do svých webových stránek, než kdyby neměli honeychecker," říká.

Juels a Rivest doporučují ve svém článku, že se medonoska oddělí od počítače systémy používající webové stránky

"Tyto dva systémy mohou být umístěny v různých administrativních oblastech, běží různé operační systémy a tak dále," napsali.

Honeychecker může být navržen tak, s internetem, což by také snížilo útočníkovu schopnost hackovat, uvedl Barrett.

Použití honeywords nebude zabraňovat hackerům krást databázi hesel a praskat jejich tajemství, Juels a Rivest

MIT profesor Ronal d. Rivest

"Nicméně," dodávají svůj příspěvek, "velký rozdíl, když se používají honeywords, spočívá v tom, že úspěšná zlomová hesla nedává příteli důvěru, že se může úspěšně a nezjistitelně přihlásit."

"Použití honeycheckera," říká autoři, "nucuje nepřátele k tomu, aby se přihlásil k riziku s velkou pravděpodobností, že způsobí odhalení kompromisu heslového hashování … nebo se pokusit o kompromis s honeycheckerem dobře. "

Výzkumníci připouštějí, že honeywords nejsou zcela uspokojivým řešením pro autentizaci uživatelů na síti, protože schéma obsahuje mnoho známých problémů s hesly a ověřování" něco víte-znáte ".

" Nakonec, "napsali," hesla by měla být doplněna o silnější a pohodlnější autentizační metody … nebo úplně dát cestu k lepší autentizaci metod. "