Brug af 'honeywords' kan afsløre kodeordskodekser

Med flere og flere forbrugere, der får deres adgangskoder kompromitteret dagligt, flyder et par forskere en ide, som de hævder, vil hjælpe med at folde digitale credential crackers.

De foreslår saltning af et websteds adgangskode database med mange falske adgangskoder kaldet "honeywords". Adgangskoder i adgangskode databaser er typisk "hashed" eller forvrengt for at beskytte deres hemmeligholdelse.

"En modstander, der stjæler en fil med hashed adgangskoder og inverterer hash-funktionen, kan ikke fortælle, om han har fundet adgangskoden eller et honningord, "Ari Juels fra RSA Labs og MIT Professor Ronald L. Rivest skrev i papiret titlen Honeywords: Making Password-cracking Detectable, der blev udgivet i sidste uge.

[Yderligere læsning: Sådan fjernes malware fra din vind ows PC]

"Forsøg på brugen af ​​et honningord til login indstiller en alarm", tilføjede de.

Hvordan det ville virke

En adgangskode database saltet med honeywords ville blive tilsluttet en server dedikeret udelukkende til at skelne mellem gyldige adgangskoder og honeywords. Når det registrerer et honningord, der bruges til at logge ind på en konto, vil det advare en site administrator for begivenheden, hvem der kan låse kontoen ned.

Brug af honeywords forhindrer ikke hackere i at overtræde dit websted og stjæle dine adgangskoder, men Det vil advare operatørerne af hjemmesiden om, at brud kan have fundet sted.

"Det er meget værdifuldt," sagde Ross Barrett, seniorleder for sikkerhedsteknologi ved Rapid7, PCWorld - især i lyset af hvor lang tid det tager at afdække mange af disse brud.

"Den gennemsnitlige tid til afsløring af et kompromis er seks måneder," sagde han ", og det er steget fra sidste år."

Men hvis hackere vidste, at et websted brugte honeywords og konti automatisk låst ned Når et honningord bruges, kan honningordene rent faktisk bruges til at skabe et benægtelsesangreb på stedet.

Ordningen giver også angriberne et andet potentielt mål: honningstjekken. Hvis kommunikationen mellem tjekkeren og websitetsserveren forstyrres, kan webstedet kollidere.

Selvom honningstjekken er kompromitteret, er en web-operatør endnu bedre med honeywords end uden dem, hævdede Barrett.

"Det var sandsynligvis meget sværere for de hackere at bryde ind på deres hjemmeside, end hvis de ikke havde haft en honningchecker," sagde han.

Juels og Rivest anbefaler i deres papir at honningcheckeren adskilles fra computeren systemer, der kører et websted.

"De to systemer kan placeres i forskellige administrative domæner, køre forskellige operativsystemer og så videre," skrev de.

Honningskontrollen kan også udformes, så den ikke direkte grænseflade med internettet, hvilket også ville reducere en hacker evne til at hacke det, bemærkede Barrett.

Ikke en total løsning

Brug af honeywords forhindrer ikke hackere i at stjæle adgangskode databaser og revner deres hemmeligheder, Juels og Rivest anerkende.

MIT Professor Ronal d. L. Rivest

"Men" tilføjer de i deres papir: "Den store forskel, når honningord bruges, er, at en succesfuld brute-force adgangskode pause ikke giver modstanderen tillid til, at han kan logge ind med succes og uopdaget."

"Brugen af ​​en honningchecker", siger forfatterne, "tvinger således en modstander til enten at logge ind med en stor chance for at forårsage detektering af kompromiset af password-hash … eller ellers at forsøge at kompromittere honningcheckeren som godt. "Forskerne indrømmer at honningord ikke er en fuldstændig tilfredsstillende løsning på brugergodkendelse på nettet, fordi ordningen indeholder mange af de kendte problemer med adgangskoder og" noget-du-know "-autentificering generelt.

Til sidst, "de skrev", skal adgangskoder suppleres med stærkere og mere bekvemme godkendelsesmetoder … eller give mulighed for bedre autentificeringsmetoder helt. "