Penggunaan kata-kata 'honeywords' dapat mengekspos keropok kata laluan

Mereka mencadangkan pengedaran pangkalan data kata laluan laman web dengan banyak kata laluan palsu yang dipanggil "Kata Sandi Kata Sandi." Kata laluan dalam pangkalan data kata laluan lazimnya "diketepikan" atau digegarkan untuk melindungi kerahsiaan mereka.

"Seorang musuh yang mencuri fail kata laluan hashed dan membalikkan fungsi hash tidak dapat memberitahu jika dia telah menemui kata laluan atau kata laluan madu, "Ari Juara RSA Labs dan Profesor MIT Ronald L. Rivest menulis di dalam kertas bertajuk Honeywords: Membuat Kata Laluan-cracking Detectable yang dikeluarkan minggu lalu.

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari Angin Anda

"Penggunaan kata laluan untuk percubaan menggunakan kata laluan berlalu," kata mereka.

Bagaimana ia akan berfungsi

antara kata laluan yang sah dan kata kunci. Apabila ia mengesan kata-kata kata kunci yang digunakan untuk log masuk ke akaun, ia akan memberi amaran kepada pentadbir laman acara itu, yang boleh mengunci akaun.

Menggunakan kata-kata kata kunci tidak akan menghalang penggodam dari melanggar laman web anda dan mencuri kata laluan anda, tetapi

"Itu sangat berharga," Ross Barrett, pengurus kanan kejuruteraan keselamatan di Rapid7 memberitahu PCWorld-terutamanya memandangkan berapa lama ia mengambil untuk mendedahkan banyak perkara ini

"Masa purata untuk pengesanan kompromi adalah enam bulan," katanya, "dan itu meningkat dari tahun lepas."

Walau bagaimanapun, jika penggodam tahu sebuah laman web menggunakan kata kunci dan akaun secara automatik dikunci apabila perkataan madu digunakan, kata-kata kata kunci benar-benar boleh digunakan untuk membuat serangan denial-of-service di laman web.

Skim ini juga memberikan penyerang yang satu lagi sasaran yang berpotensi: penghibur madu. Sekiranya komunikasi di antara pengawas dan pelayan laman web terganggu, laman web itu mungkin terhempas.

Walaupun penghibur harganya berkompromi, namun pengendali laman web masih lebih baik dengan kata-kata kata kunci daripada tanpa mereka, kata Barrett.

"Mungkin lebih sukar bagi para penggodam untuk memasuki laman web mereka daripada jika mereka tidak mempunyai penghibur," katanya.

Juels dan Rivest mencadangkan di dalam kertas mereka bahawa peminjam itu dipisahkan dari komputer

"Kedua-dua sistem ini boleh diletakkan di dalam domain pentadbiran yang berbeza, menjalankan sistem pengendalian yang berbeza, dan sebagainya," katanya.

dengan menggunakan Internet, yang juga akan mengurangkan keupayaan penyerang untuk menggodamnya, kata Barrett.

Tidak menetapkan total

Penggunaan kata-kata kata kunci tidak akan menghalang penggodam dari mencuri pangkalan data kata laluan dan memecahkan rahsia mereka, Ju dan Rivest mengakui

MIT Professor Ronal d L. Rivest

"Walau bagaimanapun," mereka menambah di dalam kertas mereka, "perbezaan besar apabila kata-kata kata kunci digunakan adalah bahawa kata laluan kekerasan berlakunya kekerasan yang berjaya tidak memberi keyakinan kepada musuh bahawa dia boleh masuk dengan jujur ​​dan tidak dapat dikesan."

"Penggunaan penghibur madu," kata penulis, "dengan itu memaksa musuh untuk melakukan pembalakan risiko dengan kemungkinan besar menyebabkan pengesanan kompromi kata laluan-hash … atau lain-lain untuk cuba menjejaskan penghibur baik. "

Para penyelidik mengakui bahawa perkataan kata kunci bukan penyelesaian yang sepenuhnya memuaskan untuk pengesahan pengguna di Internet kerana skim itu mengandungi banyak masalah yang diketahui dengan kata laluan dan pengesahan" sesuatu-anda-tahu "pada umumnya.

" Akhirnya, "mereka menulis," kata laluan harus ditambah dengan kaedah pengesahan yang lebih kuat dan lebih mudah … atau memberi laluan kepada kaedah pengesahan yang lebih baik sepenuhnya. "