Användning av "honeywords" kan avslöja lösenordskökare

Med fler och fler konsumenter som löser sina lösenord dagligen, flyger ett par forskare en idé som de strider mot för att hjälpa till med att följa upp digitala credential crackers.

De föreslår att man sätter en webbadresss lösenordsdatabas med många falska lösenord Lösenord i lösenordsdatabaser är typiskt "hashed" eller krypterade för att skydda deras hemlighet.

"En motståndare som stjäl en fil med hashed lösenord och inverterar hashfunktionen kan inte berätta om han har hittat lösenordet eller ett honungord, "Ari Juels of RSA Labs och MIT Professor Ronald L. Rivest skrev i pappersnamnet Honeywords: Making Password-cracking Detectable som släpptes förra veckan.

[Vidare läsning: Så här tar du bort skadlig kod från din vind ows PC]

"Försök att använda ett honungsord för inloggning avbryter ett larm", tillade de.

Hur det skulle fungera

En lösenordsdatabas saltad med honeywords skulle vara ansluten till en server dedikerad uteslutande för att särskilja mellan giltiga lösenord och honeywords. När det upptäcker att ett honeyword används för att logga in på ett konto, kommer det att varna en webbplatsadministratör av händelsen, som kan låsa kontot.

Användning av honeywords hindrar inte hackare från att bryta mot din webbplats och stjäla dina lösenord, men Det kommer att varna operatörerna på webbplatsen att ett brott kan ha inträffat.

"Det är väldigt värdefullt", berättade Ross Barrett, chefschef för säkerhetsteknik vid Rapid7, PCWorld-speciellt med tanke på hur lång tid det tar att avtäcka många av dessa överträdelser.

"Den genomsnittliga tiden för detektering av en kompromiss är sex månader," sade han, "och det har ökat från förra året."

Men om hackare visste att en webbplats använde honeywords och konton automatiskt låses ner När ett honungsord används, kan honungslöserna faktiskt användas för att skapa angrepp på platsen.

Systemet ger också angripare ett annat potentiellt mål: honungskontrollen. Om kommunikationen mellan kontrollören och webbsidans server störs kan webbplatsen krascha.

Även om honungskontrollen äventyras, är en webbplatsoperatör ännu bättre med honeywords än utan dem, menade Barrett.

"Det var nog mycket svårare för hackarna att bryta sig in på deras hemsida än om de inte hade haft en honungskontroll," sa han.

Juels and Rivest rekommenderar i sitt papper att honungskontrollen ska separeras från datorn system som kör en webbplats.

"De två systemen kan placeras i olika administrativa domäner, driva olika operativsystem och så vidare," skrev de.

Honungskontrollen kan också utformas så att den inte direkt gränsar med Internet, vilket också skulle minska en angripares förmåga att hacka det, noterade Barrett.

Inte en total fix

Användning av honeywords kommer inte att hindra hackare från att stjäla lösenordsdatabaser och spricka sina hemligheter, Juels and Rivest erkänna.

MIT Professor Ronal d L. Rivest

"Men" lägger de till i sitt papper, "den stora skillnaden när honungslöden används är att en lyckad brute-force lösenordsavbrott ger inte motståndarnas förtroende för att han kan logga in framgångsrikt och oupptäckt."

"Användningen av en honungschecker", säger författarna, "tvingar således en motståndare att antingen riskera att logga in med en stor chans att orsaka detektering av kompromiss av lösenordshash … eller att försöka äventyra honungskontrollen som bra. "

Forskarna erkänner att honungslöften inte är en helt tillfredsställande lösning för användarautentisering på nätet, eftersom systemet innehåller många av de kända problemen med lösenord och" någonting du vet "autentisering i allmänhet.

Så småningom, "de skrev", bör lösenord kompletteras med starkare och mer praktiska autentiseringsmetoder … eller ge bättre autentiseringsmetoder helt. "