Utilizarea "honeywords" poate expune crapaturile

Ei propun saltarea unei baze de date a parolei unui site web cu multe parole false numit "honeywords".

"Un adversar care fura un fisier de parole hashed si inverseaza functia hash nu poate spune daca a gasit parola sau o honeyword, "Ari Juels of RSA Labs și profesorul MIT, Ronald L. Rivest, a scris în lucrarea intitulată Honeywords: Efectuarea de detectare a fracturilor care a fost lansată săptămâna trecută.

[Citirea suplimentară: Cum să eliminați programele malware de la Wind "

> Cum ar funcționa

" O încercare de utilizare a unui cuvânt de honey pentru autentificare a declanșat o alarmă ", au adăugat ei.

O bază de date cu parolă salată cu honeywords ar fi conectată într-un server dedicat exclusiv pentru a distinge între parolele valide și honeywords. Atunci când detectează un cuvânt de miere folosit pentru a intra într-un cont, acesta va avertiza un administrator de site al evenimentului, care poate bloca contul în jos.

Folosirea honeywords nu va împiedica hackerii să încalce site-ul dvs. și să vă fure parolele. el va avertiza operatorii site-ului că s-ar fi produs o încălcare.

"Este foarte valoroasă", a declarat Ross Barrett, senior manager de inginerie a securității la Rapid7, în special în lumina cât durează să descopere multe dintre acestea "

" Timpul mediu de depistare a unui compromis este de sase luni ", a spus el, iar acest lucru a crescut de la anul trecut."

Cu toate acestea, daca hackerii stiau ca un site folosea honeywords si conturile sunt inchise automat atunci când se folosește un cuvânt de miere, cuvântul "honeywords" poate fi de fapt folosit pentru a crea un atac de negare a serviciului pe site.

Schema oferă, de asemenea atacatorilor, un alt potențial țintă: În cazul în care comunicarea dintre verificator și serverul web este întreruptă, site-ul web ar putea să se prăbușească.

Chiar dacă controlerul de tip "honeychecker" este compromis, operatorul unui site web este mai bine cu honeywords decât fără ei, a susținut Barrett.

"Probabil că a fost mult mai greu pentru acești hackeri să intre în site-ul lor decât dacă nu ar fi avut un cercetător de sonorizare", a spus el.

Juels și Rivest recomandă în lucrarea lor că eșantionul să fie separat de computer sisteme care rulează un site web

"Cele două sisteme pot fi plasate în domenii administrative diferite, pot rula diferite sisteme de operare și așa mai departe", au scris ei.

Honeychecker poate fi de asemenea proiectat astfel încât să nu interfereze direct cu ajutorul internetului, ceea ce ar reduce și abilitatea atacatorului de a-l hackeri, a subliniat Barrett.

Nu este un fix total

Utilizarea honeywords nu va împiedica hackerii să fure baze de date cu parole și să-și crape secretele, Juels and Rivest

Profesorul MIT Ronal d. Rivest

"Cu toate acestea," adauga in ziarul lor, "diferenta majora atunci cand se foloseste honeywords este ca o pauza de succes a brute-force password nu da adversarului siguranta ca se poate loga cu succes si nedetectat.

"Folosirea unui controlor de miere", a spus autorii, "forțează un adversar fie să se conecteze la riscuri, fie cu o șansă mare de a determina compromisul hash-ului de parolă … sau altceva să încerce să-l compromită pe Honeychecker ca bine. "

Cercetătorii recunosc că honeywords nu reprezintă o soluție complet satisfăcătoare pentru autentificarea utilizatorilor pe Internet, deoarece schema conține multe dintre problemele cunoscute cu parole și autentificarea" ceva-tu-știu "în general. În cele din urmă, "ei au scris", parolele ar trebui să fie completate cu metode de autentificare mai puternice și mai convenabile … sau să cedeze complet metodele de autentificare mai bune. "