Die Verwendung von 'Honigwörtern' kann Passwort-Cracker enttarnen.

Sie schlagen vor, die Passwortdatenbank einer Website mit vielen falschen Passwörtern zu salzen "Honeymarks". Passwörter in Passwortdatenbanken werden typischerweise "gehashed" oder verschlüsselt, um ihre Geheimhaltung zu schützen.

"Ein Angreifer, der eine Datei mit Hash-Passwörtern stiehlt und die Hash-Funktion invertiert, kann nicht erkennen, ob er das Passwort oder ein Honeyword gefunden hat, Schrieb Ari Juels von RSA Labs und MIT-Professor Ronald L. Rivest in der Zeitung mit dem Titel Honeymarks: Passwort-knacken detectable, die letzte Woche veröffentlicht wurde.

[Lesen Sie weiter: Wie Sie Malware von Ihrem Wind entfernen PC]

"Die versuchte Verwendung eines Honigwords für die Anmeldung löst einen Alarm aus", fügten sie hinzu.

Wie es funktionieren würde

Eine mit Honigwörtern gesalzene Passwortdatenbank würde an einen ausschließlich zur Unterscheidung bestimmten Server angeschlossen zwischen gültigen Passwörtern und Honigwörtern. Wenn ein Honigword entdeckt wird, das für die Anmeldung bei einem Konto verwendet wird, benachrichtigt es einen Site-Administrator, der das Konto sperren kann.

Die Verwendung von Honeywords verhindert nicht, dass Hacker Ihre Website verletzen und Ihre Passwörter stehlen es wird die Betreiber der Website darauf aufmerksam machen, dass es zu einer Verletzung gekommen ist.

"Das ist sehr wertvoll", sagte Ross Barrett, Senior Manager für Sicherheitstechnik bei Rapid7 gegenüber PCWorld - vor allem angesichts dessen, wie lange es dauert, viele davon aufzudecken Durchbrüche.

"Die durchschnittliche Zeit für die Entdeckung eines Kompromisses beträgt sechs Monate", sagte er, "und das hat sich gegenüber dem letzten Jahr erhöht."

Wenn Hacker jedoch wussten, dass eine Seite Honeywords verwendet und Konten automatisch gesperrt werden Wenn ein Honeyword verwendet wird, könnten die Honeywords tatsächlich verwendet werden, um einen Denial-of-Service-Angriff auf die Site auszulösen.

Das Schema gibt auch Angreifern ein weiteres potenzielles Ziel: den Honigchecker. Wenn die Kommunikation zwischen dem Checker und dem Website-Server gestört ist, könnte die Website abstürzen.

Selbst wenn der Honigchecker kompromittiert ist, ist ein Website-Betreiber mit Honigwörtern immer noch besser dran als ohne sie, argumentierte Barrett.

"Es war wahrscheinlich viel schwieriger für diese Hacker, in ihre Website einzubrechen, als wenn sie keinen Honigcheck gehabt hätten", sagte er.

Juels und Rivest empfehlen in ihrer Zeitung, dass der Honigscheck vom Computer getrennt sein soll Systeme, auf denen eine Website ausgeführt wird.

"Die beiden Systeme können sich in verschiedenen administrativen Domänen befinden, unterschiedliche Betriebssysteme ausführen usw.", schrieben sie.

Der Honigchecker kann auch so gestaltet werden, dass er nicht direkt verbunden ist mit dem Internet, das auch die Fähigkeit eines Angreifers reduzieren würde, es zu hacken, bemerkte Barrett.

Keine vollständige Lösung

Die Verwendung von Honeywords wird nicht verhindern, dass Hacker Passwort-Datenbanken stehlen und ihre Geheimnisse knacken, Juels und Rivest bestätigen.

MIT Professor Ronal d. L. Rivest

"Allerdings", fügen sie in ihrem Artikel hinzu, "ist der große Unterschied, wenn Honigwörter verwendet werden, dass ein erfolgreicher Brute-Force-Passwortbruch dem Widersacher nicht das Vertrauen gibt, dass er sich erfolgreich und unbemerkt einloggen kann."

"Die Verwendung eines Honigschecks", so die Autoren, "zwingt einen Gegner, sich entweder einzuloggen mit einer großen Wahrscheinlichkeit, die Entdeckung des Kompromisses des Passwort-Hashes zu verursachen … oder den Honigchecker zu kompromittieren naja. "

Die Forscher geben zu, dass Honigwörter keine befriedigende Lösung für die Benutzerauthentifizierung im Internet sind, da das Schema viele der bekannten Probleme mit Passwörtern und" etwas-weißt-schon "-Authentifizierung enthält.

" Schließlich "sollten sie geschrieben werden," sollten Passwörter mit stärkeren und bequemeren Authentifizierungsmethoden ergänzt werden … oder vollständigeren Authentifizierungsmethoden weichen. "