1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Honeywords sollen Passwortdiebe in die Falle locken

Dieses Thema im Forum "PC&Internet News" wurde erstellt von DocKugelfisch, 7. Mai 2013.

  1. DocKugelfisch
    Offline

    DocKugelfisch Moderator Digital Eliteboard Team

    Registriert:
    9. Mai 2008
    Beiträge:
    3.179
    Zustimmungen:
    2.690
    Punkte für Erfolge:
    113
    Beruf:
    Systemintegrator
    Ort:
    Астана
    Die beiden Krypto-Forscher Ari Juels und Ronald Rivest (das "R" in RSA) haben

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    , das dabei helfen soll, einen Einbruch in die Datenbank einer Web-Anwendung zu entdecken. Es beruht darauf, falsche Passwörter als Köder auszulegen und bei deren Einsatz Alarm zu schlagen.

    Dabei werden in der Datenbank zu jedem Benutzer – neben dessen eigentlichem Passwort – noch einige sogenannte Honeywords gespeichert. Ein Angreifer, der sich Zugriff auf die Datenbank verschafft, soll diese nicht von dem echten Passwort unterscheiden können; auch die Honeywords werden als gesalzene Hashes gespeichert.
    Wenn es dem Angreifer gelingt, die gestohlenen Hashes zu knacken, wird er unter Umständen versuchen, sich damit einzuloggen. Erwischt er dabei eines der Honeywords, weiß die Web-Anwendung, dass etwas faul sein muss – der Account-Inhaber kennt die Köder-Wörter schließlich nicht, das vermeintliche Passwort muss also aus der Datenbank entwendet worden sein. In diesem Fall kann die Anwendungen den betroffenen Account sperren oder stillen Alarm auslösen und den Angreifer auf ein Honeypot-System lenken, auf dem er sich austoben kann.
    Freilich geht das Konzept nur auf, wenn die Information darüber, bei welchem der Hashes es sich tatsächlich um das Nutzerpasswort handelt, nicht auf dem gleichen Server gespeichert wird wie die Hashes selbst. Die Forscher sehen deshalb ein sicheres, abgeschottetes System vor, das bei Login-Versuchen über einen verschlüsselten Kanal darüber informiert wird, welche Passwort-Möglichkeit zum Einsatz kam. Dieser sogenannte Honeychecker kennt weder das Passwort noch das Honeyword. Er weiß lediglich, an welcher Position das tatsächliche Passwort bei dem jeweiligen Nutzer in der Datenbank gespeichert ist.

    heise.de
     
    #1

Diese Seite empfehlen