L'uso di 'honeywords' può esporre password cracker

Con sempre più consumatori che hanno le loro password compromesse quotidianamente, un paio di ricercatori stanno galleggiando un'idea che contendono aiuterà a sventare i cracker delle credenziali digitali.

Propongono di salare il database delle password di un sito Web con molte password false chiamato "honeywords". Le password nei database delle password sono in genere "hash" o codificate per proteggere la loro segretezza.

"Un avversario che ruba un file di password con hash e inverte la funzione hash non può sapere se ha trovato la password o una parola d'ordine, "Ari Juels di RSA Labs e il professor del MIT Ronald L. Rivest ha scritto in un articolo intitolato Honeywords: Making Password-cracking Detectable che è stato rilasciato la scorsa settimana.

[Ulteriori letture: Come rimuovere il malware dal tuo Wind ows PC]

"Il tentativo di utilizzare una parola chiave per il login attiva un allarme", hanno aggiunto.

Come funzionerebbe

Un database di password salato con honeywords verrebbe inserito in un server dedicato esclusivamente alla distinzione tra password valide e parole d'ordine. Quando rileva una parola chiave utilizzata per accedere a un account, avviserà un amministratore del sito dell'evento, che può bloccare l'account.

L'utilizzo di honeyword non impedirà agli hacker di violare il tuo sito web e rubare le password, ma

"Questo è molto prezioso", ha detto a PCWorld Ross Barrett, senior manager dell'ingegneria della sicurezza di Rapid7, specialmente alla luce di quanto tempo ci vorrà per scoprire molti di questi

"Il tempo medio per il rilevamento di un compromesso è di sei mesi", ha detto, "e questo è aumentato rispetto all'anno scorso."

Tuttavia, se gli hacker sapevano che un sito stava usando honeywords e gli account sono automaticamente bloccati quando viene utilizzata una parola chiave, le parole chiave potrebbero essere effettivamente utilizzate per creare un attacco denial-of-service sul sito.

Lo schema offre inoltre agli attaccanti un altro potenziale obiettivo: il honeychecker. Se le comunicazioni tra il checker e il server del sito Web sono interrotte, il sito Web potrebbe bloccarsi.

Anche se il honeychecker è compromesso, un operatore del sito web è ancora meglio con honeywords che senza di loro, ha sostenuto Barrett.

"Probabilmente era molto più difficile per quegli hacker penetrare nel loro sito web che se non avessero avuto un honeychecker", ha detto.

Juels e Rivest raccomandano nel loro articolo che il honeychecker sia separato dal computer sistemi che eseguono un sito Web.

"I due sistemi possono essere collocati in diversi domini amministrativi, eseguire diversi sistemi operativi e così via", hanno scritto.

Il honeychecker può anche essere progettato in modo che non si interfaccia direttamente con Internet, che ridurrebbe anche la capacità di un hacker di hackerarlo, ha notato Barrett.

Non una correzione totale

L'uso di honeywords non impedirà agli hacker di rubare i database delle password e di scannare i loro segreti, Juels e Rivest riconoscere.

MIT Professor Ronal d L. Rivest

"Tuttavia," aggiungono nel loro articolo, "la grande differenza quando si usano le parole chiave honeywords è che una interruzione della password brute-force non dà la certezza dell'avversario di poter accedere con successo e inosservato."

"L'uso di un honeychecker", affermano gli autori, "costringe quindi un avversario a rischiare l'accesso con una grande possibilità di causare il rilevamento del compromesso dell'hash della password … oppure di tentare di compromettere il honeychecker come "

I ricercatori ammettono che honeywords non è una soluzione completamente soddisfacente per l'autenticazione dell'utente in rete perché lo schema contiene molti dei problemi noti con le password e l'autenticazione" qualcosa-sai-conosci "in generale.

" Alla fine, "hanno scritto", le password dovrebbero essere integrate con metodi di autenticazione più forti e più convenienti … o lasciare il posto a metodi di autenticazione migliori completamente. "