Korištenje "honeywords" može izložiti krekeri za lozinku

Uz sve više i više potrošača koji imaju svoje lozinke svakodnevno ugrožen, par istraživača pluta je ideja da oni tvrde da će pomoći folija digitalni kalkulator kredita.

Oni predlažu solju baze podataka lozinke web stranice s puno lažnih lozinke

"Protivnik koji ukrade datoteku raspršenih lozinki i invertira hash funkciju ne može utvrditi je li pronašao lozinku ili lozinku, "Ari Juels of RSA Labs i MIT profesor Ronald L. Rivest napisao je u članku pod nazivom Honeywords: Izrada lozinka-pucanje detektirajući koji je objavljen prošlog tjedna.

[Daljnje čitanje: Kako ukloniti zlonamjerni softver iz vjetra

Kako će to raditi

Baza podataka za lozinku slana s honeywordovima bit će priključena na poslužitelj namijenjen isključivo razlikovanju između valjane lozinke i honeywords. Kada otkrije honeyword koji se koristi za prijavu na račun, upozorit će administratora web mjesta događaja koji mogu zaključati račun.

Korištenje honeywordova neće spriječiti hakere da krši vaše web stranice i krađuju vaše lozinke, ali on će upozoriti operatore web stranice da je došlo do kršenja.

"To je vrlo vrijedno", rekao je Ross Barrett, viši menadžer sigurnosnog inženjeringa u Rapid7 za PCWorld - pogotovo u svjetlu koliko dugo traje da otkriju mnoge od tih "Prosječno vrijeme za otkrivanje kompromisa je šest mjeseci", rekao je on ", a to je povećano od prošle godine."

Međutim, ako hakeri znaju da je web mjesto koristilo honeywords i da se računi automatski zaključavaju kada se koristi honeyword, honeywords bi se zapravo mogli koristiti za stvaranje napada denial of service na mjestu.

Ova shema također daje napadačima još jedan potencijalni cilj: honeychecker. Ako su komunikacije između kontrolera i poslužitelja web-mjesta poremećene, web stranica bi se mogla srušiti.

Čak i ako je pametni poslužitelj kompromitiran, ipak, operater web stranice još uvijek je bolji od honeywords nego bez njih, tvrdi Barrett.

"To je vjerojatno puno teže za one hakere da probiju na njihovu web stranicu nego da nisu imali honeychecker", rekao je.

Juels i Rivest preporučuju u svojim novinama da se medijator odvoji od računala

"Dva sustava mogu se postaviti u različite administrativne domene, pokrenuti različite operacijske sustave i tako dalje", napisali su.

Prozorčići mogu se takoer dizajnirati tako da ne izravno sučelje s internetom, što bi također smanjilo sposobnost napadača da ga hakira, primijetio je Barrett.

Nije potpuna popravak

Korištenje honeywordova neće spriječiti hakere da krade baze podataka lozinki i puštaju svoje tajne, Juels i Rivest Priznajem.

Profesor MIT Ronal Međutim, "dodaju u svoj rad" velika razlika u korištenju honeywordova jest da uspješna brisna šutnja lozinke ne daje neprijatelju povjerenje da se može uspješno prijaviti i neotkriven ".

"Upotreba medijskog pisača", rekli su autori, "tako prisiljava protivnika da se približi riziku s velikim šansama da uzrokuje otkrivanje kompromisa lozinke … ili pokušava kompromitirati pceletera kao dobro. "

Istraživači priznaju da honeywords nisu sasvim zadovoljavajuće rješenje za autentifikaciju korisnika na Internetu jer shema sadrži mnoge poznate probleme s lozinkama i općenito" nešto što znate ".

" Naposljetku, "zapisali su", lozinke bi trebale biti dopunjene s jačim i praktičnijim metodama provjere autentičnosti … ili potpuno dopuštaju bolje metode provjere autentičnosti. "