Hikvision Benelux - AX Pro Integratie Webinar
Inhoudsopgave:
Nu steeds meer consumenten hun wachtwoorden hebben aangetast op een dagelijkse basis, zwerven een paar onderzoekers met een idee waarvan ze beweren dat ze digitale geloofsbrieven kapot maken.
Ze stellen voor om de wachtwoorddatabase van een website te zouten met veel valse wachtwoorden "honingwoorden" genoemd. Wachtwoorden in wachtwoorddatabases worden meestal "gehasht" of gecodeerd om hun geheimhouding te beschermen.
"Een tegenstander die een bestand met gehashte wachtwoorden steelt en de hashfunctie omdraait, kan niet zien of hij het wachtwoord of een lieverdwoord heeft gevonden, "Ari Juels van RSA Labs en MIT Professor Ronald L. Rivest schreef in paper getiteld Honeywords: Detectable Password-cracking dat vorige week werd uitgebracht.
[Lees meer: Hoe malware van je Wind te verwijderen ows PC]"Het gepoogde gebruik van een honingwoord voor inloggen zorgt voor een alarm", voegde ze eraan toe.
Hoe het zou werken
Een wachtwoorddatabase gezouten met honingwoorden zou worden aangesloten op een server die uitsluitend is bedoeld om onderscheid te maken tussen geldige wachtwoorden en honingwoorden. Wanneer het een honingwoord detecteert dat wordt gebruikt om in te loggen op een account, waarschuwt het een sitebeheerder van de gebeurtenis, die het account kan vergrendelen.
Het gebruik van honingwords zal hackers niet beletten uw website te overtreden en uw wachtwoorden te stelen, maar het alarmeert de operators van de website dat er mogelijk een overtreding is opgetreden.
"Dat is heel waardevol," vertelde Ross Barrett, senior manager beveiligingstechniek bij Rapid7 aan PCWorld, vooral in het licht van hoe lang het duurt om veel van deze te ontdekken inbreuken.
"De gemiddelde tijd voor het detecteren van een compromis is zes maanden," zei hij, "en dat is toegenomen ten opzichte van vorig jaar."
Echter, als hackers wisten dat een site honingwoorden gebruikte en accounts automatisch werden geblokkeerd wanneer een honingwoord wordt gebruikt, kunnen de honingwoorden daadwerkelijk worden gebruikt om een denial-of-service-aanval op de site te veroorzaken.
Het schema geeft aanvallers ook een ander potentieel doelwit: de honingzoeker. Als de communicatie tussen de schijf en de website-server wordt onderbroken, kan de website crashen.
Zelfs als de honingzoeker wordt gehackt, is een websitebeheerder nog steeds beter af met honingwoorden dan zonder hen, betoogde Barrett.
"Het was waarschijnlijk een stuk moeilijker voor die hackers om in te breken op hun website dan als ze geen honeychecker hadden gehad," zei hij.
Juels en Rivest bevelen in hun krant aan dat de honeychecker gescheiden moet worden van de computer systemen waarop een website wordt uitgevoerd.
"De twee systemen kunnen in verschillende beheersdomeinen worden geplaatst, verschillende besturingssystemen uitvoeren, enzovoort", schreven ze.
De honeychecker kan ook zo worden ontworpen dat deze geen directe interface heeft met het internet, wat ook het vermogen van een aanvaller om het te hacken zou verminderen, merkte Barrett op.
Geen totale oplossing
Gebruik van honingwoorden zal niet voorkomen dat hackers wachtwoorddatabases stelen en hun geheimen kapen, Juels en Rivest erkennen.
MIT Professor Ronal d L. Rivest"Echter," voegen ze in hun paper toe, "het grote verschil wanneer honingwoorden worden gebruikt, is dat een succesvolle brute-force wachtwoordpauze niet de tegenstander het vertrouwen geeft dat hij succesvol en ongemerkt kan inloggen."
"Het gebruik van een honingzoeker", aldus de auteurs, "dwingt een tegenstander om risico's te loggen met een grote kans om het compromis van de wachtwoord-hash te detecteren … of anders om de honingzoeker in gevaar te brengen als goed. "
De onderzoekers geven toe dat honingwoorden geen volledig bevredigende oplossing zijn voor gebruikersverificatie op het internet, omdat het schema veel van de bekende problemen met wachtwoorden en" iets-weet-weet "-authenticatie in het algemeen bevat.
" Uiteindelijk, "schreven ze", moeten wachtwoorden worden aangevuld met sterkere en handigere authenticatiemethoden … of plaatsmaken voor betere authenticatiemethoden volledig. "
Microsoft heeft rechtszaken aangespannen tegen vijf producenten van scareware. Microsoft heeft donderdag rechtszaken aangespannen tegen vijf bedrijven en hen beschuldigd van het gebruik van schadelijke advertenties om slachtoffers te misleiden in het installeren van software op hun computers.
Het bedrijf daagt DirectAd Solutions, Soft Solutions, qiweroqw.com, ote2008.info en ITmeter aan, zeggend dat deze bedrijven advertenties hebben gebruikt om "kwaadwillende software te verspreiden of bedrieglijke websites te presenteren die scareware leurden om nietsvermoedende internetgebruikers ", aldus een blog van Tim Cranton, associeert de general counsel met Microsoft.
Iomega helpt u bij het klonen van uw systeem - en speelt ook media Bijna twee jaar zijn verstreken sinds Iomega en EMC (bekend van zijn back-up software) zich aansloten en het nieuwste aanbod van Iomega weerspiegelt de huidige focus van het bedrijf op integratie van de hardware en software-ervaring. Iomega's nieuwe v.Clone, hier geïntroduc
Virtualisatiesoftware is natuurlijk niet nieuw en verschillende fabrikanten hebben al eerder geprobeerd zorgen voor virtualisatie op een USB-flashstation. Het verschil hier is dat het een mainstream leverancier van harde schijven is die virtualisatie biedt voor consumenten - en dat doet op iets dat veel groter is dan een schamele flashdrive die nauwelijks je internetfavorieten en e-mail kan verwerken.
Microsoft helpt de FBI bij het blootleggen van Scareware Fraud-schema`s
Onderzoekers van Microsoft`s Digital Crimes Unit, met ondersteuning van het Microsoft Malware Protection Center en Customer Support Services , hielp het Federal Bureau of Investigations, VS, bij het aanpakken van nep-antivirus (rogueware of scareware) oplichting