Windows

Gebruik van 'honingwoorden' kan wachtwoordcrackers blootleggen

Hikvision Benelux - AX Pro Integratie Webinar

Hikvision Benelux - AX Pro Integratie Webinar

Inhoudsopgave:

Anonim

Nu steeds meer consumenten hun wachtwoorden hebben aangetast op een dagelijkse basis, zwerven een paar onderzoekers met een idee waarvan ze beweren dat ze digitale geloofsbrieven kapot maken.

Ze stellen voor om de wachtwoorddatabase van een website te zouten met veel valse wachtwoorden "honingwoorden" genoemd. Wachtwoorden in wachtwoorddatabases worden meestal "gehasht" of gecodeerd om hun geheimhouding te beschermen.

"Een tegenstander die een bestand met gehashte wachtwoorden steelt en de hashfunctie omdraait, kan niet zien of hij het wachtwoord of een lieverdwoord heeft gevonden, "Ari Juels van RSA Labs en MIT Professor Ronald L. Rivest schreef in paper getiteld Honeywords: Detectable Password-cracking dat vorige week werd uitgebracht.

[Lees meer: ​​Hoe malware van je Wind te verwijderen ows PC]

"Het gepoogde gebruik van een honingwoord voor inloggen zorgt voor een alarm", voegde ze eraan toe.

Hoe het zou werken

Een wachtwoorddatabase gezouten met honingwoorden zou worden aangesloten op een server die uitsluitend is bedoeld om onderscheid te maken tussen geldige wachtwoorden en honingwoorden. Wanneer het een honingwoord detecteert dat wordt gebruikt om in te loggen op een account, waarschuwt het een sitebeheerder van de gebeurtenis, die het account kan vergrendelen.

Het gebruik van honingwords zal hackers niet beletten uw website te overtreden en uw wachtwoorden te stelen, maar het alarmeert de operators van de website dat er mogelijk een overtreding is opgetreden.

"Dat is heel waardevol," vertelde Ross Barrett, senior manager beveiligingstechniek bij Rapid7 aan PCWorld, vooral in het licht van hoe lang het duurt om veel van deze te ontdekken inbreuken.

"De gemiddelde tijd voor het detecteren van een compromis is zes maanden," zei hij, "en dat is toegenomen ten opzichte van vorig jaar."

Echter, als hackers wisten dat een site honingwoorden gebruikte en accounts automatisch werden geblokkeerd wanneer een honingwoord wordt gebruikt, kunnen de honingwoorden daadwerkelijk worden gebruikt om een ​​denial-of-service-aanval op de site te veroorzaken.

Het schema geeft aanvallers ook een ander potentieel doelwit: de honingzoeker. Als de communicatie tussen de schijf en de website-server wordt onderbroken, kan de website crashen.

Zelfs als de honingzoeker wordt gehackt, is een websitebeheerder nog steeds beter af met honingwoorden dan zonder hen, betoogde Barrett.

"Het was waarschijnlijk een stuk moeilijker voor die hackers om in te breken op hun website dan als ze geen honeychecker hadden gehad," zei hij.

Juels en Rivest bevelen in hun krant aan dat de honeychecker gescheiden moet worden van de computer systemen waarop een website wordt uitgevoerd.

"De twee systemen kunnen in verschillende beheersdomeinen worden geplaatst, verschillende besturingssystemen uitvoeren, enzovoort", schreven ze.

De honeychecker kan ook zo worden ontworpen dat deze geen directe interface heeft met het internet, wat ook het vermogen van een aanvaller om het te hacken zou verminderen, merkte Barrett op.

Geen totale oplossing

Gebruik van honingwoorden zal niet voorkomen dat hackers wachtwoorddatabases stelen en hun geheimen kapen, Juels en Rivest erkennen.

MIT Professor Ronal d L. Rivest

"Echter," voegen ze in hun paper toe, "het grote verschil wanneer honingwoorden worden gebruikt, is dat een succesvolle brute-force wachtwoordpauze niet de tegenstander het vertrouwen geeft dat hij succesvol en ongemerkt kan inloggen."

"Het gebruik van een honingzoeker", aldus de auteurs, "dwingt een tegenstander om risico's te loggen met een grote kans om het compromis van de wachtwoord-hash te detecteren … of anders om de honingzoeker in gevaar te brengen als goed. "

De onderzoekers geven toe dat honingwoorden geen volledig bevredigende oplossing zijn voor gebruikersverificatie op het internet, omdat het schema veel van de bekende problemen met wachtwoorden en" iets-weet-weet "-authenticatie in het algemeen bevat.

" Uiteindelijk, "schreven ze", moeten wachtwoorden worden aangevuld met sterkere en handigere authenticatiemethoden … of plaatsmaken voor betere authenticatiemethoden volledig. "