Использование «honeywords» может выявить взломщики паролей

С ростом числа потребителей, с которыми ежедневно сталкиваются пароли, пара исследователей плавает за идею о том, что они утверждают, что это поможет сфальсифицировать цифровые сертификационные взломщики.

Они предлагают солить базу данных паролей веб-сайта с большим количеством ложных паролей называемые «honeywords». Пароли в базах паролей обычно «хэшируются» или скремблируются, чтобы защитить их секретность.

«Противник, который крадет файл хэшированных паролей и инвертирует хэш-функцию, не может определить, нашел ли он пароль или медовое слово, «Ari Juels из RSA Labs и профессор Массачусетского технологического института Рональд Л. Ривест написал в документе под названием Honeywords:« Обнаружение паролей », выпущенное на прошлой неделе.

[Читать дальше: Как удалить вредоносное ПО с вашего Ветра ows PC]

«Попытка использования медового слова для входа в систему отключает будильник», добавили они.

Как это работает

База данных паролей, соленая с медовыми словами, будет подключена к серверу, предназначенному исключительно для различения между действительными паролями и honeywords. Когда он обнаруживает медовое слово, используемое для входа в учетную запись, он предупреждает администратора сайта о событии, который может заблокировать учетную запись.

Использование honeywords не будет препятствовать хакерам нарушать ваш сайт и красть ваши пароли, но он будет предупреждать операторов веб-сайта о том, что может произойти нарушение.

«Это очень ценно», - сказал Росс Барретт, старший менеджер по технике безопасности в Rapid7, рассказал PCWorld, особенно в свете того, сколько времени он занимает, чтобы выявить многие из этих нарушения.

«Среднее время для обнаружения компромисса - это шесть месяцев, - сказал он, - и это увеличилось с прошлого года».

Однако, если хакеры знали, что сайт использует honeywords, а учетные записи автоматически блокируются при использовании медового слова медовые слова могут быть фактически использованы для создания атаки на отказ в обслуживании на сайте.

Схема также дает злоумышленникам еще одну потенциальную цель: honeychecker. Если связь между проверяющим и сервером веб-сайта нарушена, веб-сайт может потерпеть крах.

Даже если honeychecker взломан, однако, оператор веб-сайта по-прежнему лучше с медовыми словами, чем без них, утверждает Барретт.

«Этим хакерам, вероятно, было намного сложнее проникнуть на их сайт, чем если бы у них не было honeychecker», - сказал он.

Juels и Rivest рекомендуют в своей статье, чтобы honeychecker был отделен от компьютера системы с веб-сайтом.

«Две системы могут быть размещены в разных административных доменах, запускать разные операционные системы и т. д.», - пишут они.

Honeychecker также может быть спроектирован таким образом, чтобы он не напрямую взаимодействовал с Интернетом, что также уменьшило бы способность атакующего взломать его, отметил Барретт.

Не полное исправление

Использование honeywords не помешает хакерам краже паролей баз данных и взломать их секреты, Juels и Rivest подтверждено.

Профессор MIT Ronal d L. Rivest

«Однако, как они добавляют в своей статье,« большая разница, когда используются медовые слова, заключается в том, что успешный перерыв в пароле с перерывами не дает уверенности в том, что он может войти в систему успешно и не обнаружено ».

«Использование honeychecker, - говорят авторы, - заставляет противника противостоять риску входа в систему с большой вероятностью вызвать обнаружение компромисса пароля-хеша … или же попытаться поставить под угрозу honeychecker как хорошо. »

Исследователи признают, что honeywords не являются полностью удовлетворительным решением для аутентификации пользователей в сети, поскольку эта схема содержит многие известные проблемы с паролями и аутентификацией« что-то известно ».

В конце концов, «они писали», пароли должны быть дополнены более сильными и удобными методами аутентификации … или полностью уступить место лучшим методам аутентификации ».