目录:
随着越来越多的消费者每天都会泄露他们的密码,一对研究人员浮现出他们认为会帮助打破数字证书破解者的想法。
他们建议在网站的密码数据库中篡改大量错误的密码称为“honeywords”。密码数据库中的密码通常是“散列(hash)”或加密以保护它们的安全。
“窃取散列密码文件并颠倒散列函数的对手无法判断他是否已找到密码或亲笔,“RSA实验室的Ari Juels和麻省理工学院教授Ronald L. Rivest在上周发表的名为”Honeywords:Making Password-cracking Detectable“的文章中写道
[更多阅读:如何从您的风中移除恶意软件ows PC]“尝试使用honeyword进行登录会引发警报,”他们补充道,“
工作原理
用honeywords盐渍的密码数据库将被插入专门用于区分的服务器有效密码和honeywords之间。当它检测到用于登录帐户的honeyword时,它将向站点管理员发出警报,可以锁定该帐户。
使用honeywords不会阻止黑客攻击您的网站并窃取您的密码,但它会提醒网站的运营商可能已经发生了违规行为。“这非常有价值,”Rapid7的安全工程高级经理Ross Barrett告诉PCWorld - 尤其是考虑到发现其中许多问题需要多长时间“
”“检测到折衷的平均时间是六个月,”他说,“而且比去年有所增加。”
然而,如果黑客知道某个网站正在使用honeywords并且账户被自动锁定当使用honeyword时,honeywords实际上可以用来在站点上创建拒绝服务攻击。
该攻击方案还为攻击者提供了另一个潜在目标:honeychecker。如果检查器与网站服务器之间的通信中断,网站可能会崩溃。
即使honeychecker受到攻击,但网站运营商使用honeywords仍然比没有使用honeywords更好,Barrett争辩说。 “
”这些黑客进入他们的网站可能比他们没有一个honeychecker更困难,“他说。”Juels和Rivest在他们的文章中建议,将honeychecker与计算机分开系统运行一个网站
“这两个系统可能被放置在不同的管理域中,运行不同的操作系统,等等,”他们写道。
honeychecker也可以设计成它不直接连接而且还可以减少攻击者攻击它的能力,Barrett指出。
不能完全修复
使用honeywords不会阻止黑客窃取密码数据库并破解他们的秘密,Juels and Rivest承认。
麻省理工学院Ronal教授d L. Rivest
“然而,”他们在他们的论文中补充道,“使用honeywords时的巨大差异在于,成功的暴力破解密码并不能使对手相信他可以成功登录并且无法被发现。 “作者说,”使用蜜蜂检测器,“因此迫使攻击者冒着登录的风险,导致检测到密码散列的危害发生,或者试图破坏蜜蜂检测器为“
