Używanie "honeywords" może narazić hakerów na hasła

Przy coraz większej liczbie użytkowników, którzy codziennie łamią hasła, para naukowców wpada na pomysł, który ich zdaniem pomoże w walce z łamaniem cyfrowych referencji.

Proponują namasowanie bazy haseł strony internetowej zawierającej wiele fałszywych haseł "Hasła haseł". Hasła w bazach danych haseł są zazwyczaj "mieszane" lub szyfrowane w celu ochrony ich poufności.

"Przeciwnik, który kradnie plik zaszyfrowanych haseł i odwraca funkcję haszującą, nie może stwierdzić, czy znalazł hasło lub słowo kluczowe, "Ari Juels z RSA Labs i MIT Profesor Ronald L. Rivest napisał w artykule zatytułowanym Honeywords: Making Password-cracking Detectable, który został wydany w zeszłym tygodniu.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie ze swojego wiatru ows PC]

"Próba użycia słowa kluczowego dla logowania uruchamia alarm", dodali.

Jak to działa

Baza danych haseł posypana słowami kluczowymi byłaby podłączona do serwera dedykowanego wyłącznie do rozróżniania między ważnymi hasłami a kluczami milowymi. Kiedy wykryje słowo kluczowe używane do zalogowania się na konto, powiadomi administratora witryny o zdarzeniu, który może zablokować konto.

Używanie słów kluczowych nie przeszkodzi hakerom w naruszaniu Twojej witryny i kradzieży haseł, ale powiadomi on operatorów strony internetowej o tym, że mogło dojść do naruszenia.

"To bardzo cenne," powiedział Ross Barrett, starszy menedżer ds. inżynierii bezpieczeństwa w Rapid7 w PCWorld - szczególnie w świetle tego, ile czasu zajmuje odkrycie wielu z nich naruszenia przepisów.

"Średni czas na wykrycie kompromisu to sześć miesięcy", powiedział, "a to się zwiększyło od zeszłego roku."

Jeśli jednak hakerzy wiedzieli, że witryna używa słów kluczowych i konta są automatycznie blokowane gdy używane jest słowo kluczowe, honeywords może być w rzeczywistości użyte do stworzenia ataku typu "odmowa usługi" na stronie.

Schemat daje także atakującym inny potencjalny cel: sprawdzającego honeychecker. Jeśli komunikacja między kontrolerem a serwerem strony internetowej zostanie zakłócona, strona internetowa może ulec awarii.

Nawet jeśli atakuje się honeychecker, operator stron internetowych ma jeszcze lepsze wyniki w słowach kluczowych niż bez nich, twierdzi Barrett.

"Prawdopodobnie o wiele trudniej było tym hakerom włamać się na ich stronę internetową, niż gdyby nie mieli kontroli nad honeycheckerem."

Juels i Rivest polecają w swojej gazecie, że honeychecker powinien być oddzielony od komputera systemy działające na stronie internetowej.

"Oba systemy mogą znajdować się w różnych domenach administracyjnych, działać w różnych systemach operacyjnych i tak dalej" - napisali.

Sprawdzanie honeychecker może być również zaprojektowane tak, aby nie było bezpośredniego interfejsu z Internetem, który również zmniejszyłby zdolność włamywacza do zhakowania go, zauważył Barrett.

Nie całkowita poprawka

Używanie słów kluczowych nie powstrzyma hakerów od kradzieży baz haseł i łamania ich sekretów, Juels i Rivest potwierdzić.

MIT Profesor Ronal d L. Rivest

"Jednakże," dodają w swojej gazecie ", wielką różnicą przy użyciu słów-kluczy jest to, że skuteczne łamanie haseł nie daje przeciwnikowi pewności, że może się zalogować z powodzeniem i nie wykryć."

"Korzystanie z kontroli typu honeychecker", twierdzą autorzy, "zmusza przeciwnika do ryzyka logowania się z dużą szansą na wykrycie kompromisu hash-hash … lub do próby złamania kontroli nad honeycheckerem no cóż. "

Naukowcy przyznają, że słowa kluczowe nie są całkowicie satysfakcjonującym rozwiązaniem do uwierzytelniania użytkowników w Internecie, ponieważ schemat zawiera wiele znanych problemów z hasłami i ogólnie uwierzytelnianie" coś-wiesz ".

W końcu "oni pisali" hasła powinny być uzupełnione mocniejszymi i wygodniejszymi metodami uwierzytelniania … lub całkowicie ustąpić miejsca lepszym metodom uwierzytelniania. "