Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenloses um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereiche, welche für Gäste verwehrt bleiben

PC & Internet Honeywords sollen Passwortdiebe in die Falle locken

Die beiden Krypto-Forscher Ari Juels und Ronald Rivest (das "R" in RSA) haben
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
, das dabei helfen soll, einen Einbruch in die Datenbank einer Web-Anwendung zu entdecken. Es beruht darauf, falsche Passwörter als Köder auszulegen und bei deren Einsatz Alarm zu schlagen.

Dabei werden in der Datenbank zu jedem Benutzer – neben dessen eigentlichem Passwort – noch einige sogenannte Honeywords gespeichert. Ein Angreifer, der sich Zugriff auf die Datenbank verschafft, soll diese nicht von dem echten Passwort unterscheiden können; auch die Honeywords werden als gesalzene Hashes gespeichert.
Wenn es dem Angreifer gelingt, die gestohlenen Hashes zu knacken, wird er unter Umständen versuchen, sich damit einzuloggen. Erwischt er dabei eines der Honeywords, weiß die Web-Anwendung, dass etwas faul sein muss – der Account-Inhaber kennt die Köder-Wörter schließlich nicht, das vermeintliche Passwort muss also aus der Datenbank entwendet worden sein. In diesem Fall kann die Anwendungen den betroffenen Account sperren oder stillen Alarm auslösen und den Angreifer auf ein Honeypot-System lenken, auf dem er sich austoben kann.
Freilich geht das Konzept nur auf, wenn die Information darüber, bei welchem der Hashes es sich tatsächlich um das Nutzerpasswort handelt, nicht auf dem gleichen Server gespeichert wird wie die Hashes selbst. Die Forscher sehen deshalb ein sicheres, abgeschottetes System vor, das bei Login-Versuchen über einen verschlüsselten Kanal darüber informiert wird, welche Passwort-Möglichkeit zum Einsatz kam. Dieser sogenannte Honeychecker kennt weder das Passwort noch das Honeyword. Er weiß lediglich, an welcher Position das tatsächliche Passwort bei dem jeweiligen Nutzer in der Datenbank gespeichert ist.

heise.de
 
Zurück
Oben