Χρήση των 'Honeywords' μπορεί να εκθέσει κροτίδες κωδικού πρόσβασης

Προτείνουν την αλάτωση της βάσης δεδομένων κωδικού πρόσβασης ενός ιστότοπου με πολλούς ψευδείς κωδικούς πρόσβασης που ονομάζεται "honeywords." Οι κωδικοί πρόσβασης στις βάσεις δεδομένων κωδικών πρόσβασης είναι συνήθως "hashed" ή κωδικοποιημένοι για να προστατεύσουν την εμπιστευτικότητα τους.

"Ο αντίπαλος που κλέβει ένα αρχείο από hashwords και αναστρέφει τη λειτουργία hash δεν μπορεί να πει αν βρήκε τον κωδικό πρόσβασης, "Ari Juels των RSA Labs και ο καθηγητής του MIT, Ronald L. Rivest έγραψαν σε άρθρο με τίτλο Honeywords: Κάνοντας την ανίχνευση του εντοπισμού των κωδικών πρόσβασης που κυκλοφόρησε την περασμένη εβδομάδα

[Περαιτέρω ανάγνωση: Πώς να αφαιρέσετε το κακόβουλο λογισμικό από τον αέρα σας

Η βάση δεδομένων των κωδικών πρόσβασης αλατισμένη με honeywords θα συνδεθεί σε ένα διακομιστή που θα αφιερωθεί αποκλειστικά στο διαχωρισμό μεταξύ έγκυρων κωδικών πρόσβασης και honeywords. Όταν εντοπίζει μια honeyword που χρησιμοποιείται για να συνδεθεί σε έναν λογαριασμό, θα ειδοποιήσει έναν διαχειριστή του ιστοτόπου της εκδήλωσης, ο οποίος μπορεί να κλειδώσει τον λογαριασμό κάτω.

Η χρήση του honeywords δεν εμποδίζει τους hackers να παραβιάζουν τον ιστότοπό σας και να κλέβουν τους κωδικούς πρόσβασής σας. θα ειδοποιήσει τους χειριστές του ιστότοπου ότι ενδέχεται να σημειώθηκε παραβίαση

"Αυτό είναι πολύ πολύτιμο", δήλωσε ο Ross Barrett, ανώτερος διευθυντής της μηχανικής ασφάλειας στο Rapid7 στην PCWorld, ειδικά υπό το πρίσμα του πόσο καιρό παίρνει για να αποκαλύψει πολλά από αυτά "

" Ο μέσος χρόνος για την ανίχνευση ενός συμβιβασμού είναι έξι μήνες και αυτό αυξάνεται από πέρυσι. "

Ωστόσο, εάν οι hackers ήξεραν ότι ένα site χρησιμοποιούσε honeywords και οι λογαριασμοί κλειδώνουν αυτόματα όταν χρησιμοποιείται μια λέξη honey, οι honeywords θα μπορούσαν να χρησιμοποιηθούν για να δημιουργήσουν μια επίθεση αρνησικυρίας στην τοποθεσία.

Το πρόγραμμα δίνει επίσης στους επιτιθέμενους έναν άλλο δυνητικό στόχο: τον honeychecker. Εάν η επικοινωνία μεταξύ του ελεγκτή και του διακομιστή ιστού διαταράσσεται, ο ιστότοπος θα μπορούσε να καταρρεύσει.

Ακόμη και αν ο διαχωρισμός του διαστήματος διακυβεύεται, ένας διαχειριστής ιστότοπου εξακολουθεί να είναι καλύτερος με honeywords παρά χωρίς αυτούς, υποστήριξε ο Barrett.

"Ήταν μάλλον πολύ πιο δύσκολο για τους hackers να σπάσουν στην ιστοσελίδα τους από ό, τι αν δεν είχαν ένα honeychecker", δήλωσε.

Οι Juels και Rivest προτείνουν στο έγγραφό τους ότι ο honeychecker πρέπει να διαχωριστεί από τον υπολογιστή "Τα δύο συστήματα μπορούν να τοποθετηθούν σε διαφορετικούς διαχειριστικούς τομείς, να τρέξουν διαφορετικά λειτουργικά συστήματα και ούτω καθεξής", έγραψαν.

Το honeychecker μπορεί επίσης να σχεδιαστεί έτσι ώστε να μην συνδέεται άμεσα με το Διαδίκτυο, το οποίο θα μπορούσε επίσης να μειώσει την ικανότητα ενός εισβολέα να το χάσει, επεσήμανε ο Barrett

Η χρήση του honeywords δεν πρόκειται να εμποδίσει τους χάκερς να κλέψουν τις βάσεις δεδομένων των κωδικών πρόσβασης και να σπάσουν τα μυστικά τους, Juels and Rivest

Ο καθηγητής Ronal d. Rivest

«Όμως, η μεγάλη διαφορά κατά τη χρήση των honeywords είναι ότι ένα επιτυχημένο διάλειμμα με κωδικό brute-force δεν δίνει στον αντιπάλου την εμπιστοσύνη ότι μπορεί να συνδεθεί επιτυχώς και να μην εντοπιστεί».

"Η χρήση ενός honeychecker," λέει ο συγγραφέας, "αναγκάζει έναν αντίπαλο είτε να συνδεθεί με τον κίνδυνο, με μεγάλη πιθανότητα να προκαλέσει την ανίχνευση του συμβιβασμού του κωδικού πρόσβασης … είτε να προσπαθήσει να θέσει σε κίνδυνο τον honeychecker "

Οι ερευνητές παραδέχονται ότι οι honeywords δεν είναι μια πλήρως ικανοποιητική λύση για τον έλεγχο ταυτότητας χρηστών στο Διαδίκτυο, επειδή το σύστημα περιέχει πολλά από τα γνωστά προβλήματα με τους κωδικούς πρόσβασης και τον έλεγχο ταυτότητας" κάτι που ξέρετε ". Τελικά, "έγραψαν", οι κωδικοί πρόσβασης θα πρέπει να συμπληρώνονται με ισχυρότερες και πιο βολικές μεθόδους ελέγχου ταυτότητας … ή να αποδίδουν τελείως τις καλύτερες μεθόδους πιστοποίησης.