Information ausblenden
Das Digital Eliteboard ist ein Kostenloses Forum. Wenn du alle Bereiche sehen möchtest oder Fragen hast, musst du dich zunächst Registrieren.

Jetzt Registrieren

Honeywords sollen Passwortdiebe in die Falle locken

Dieses Thema im Forum "PC&Internet News" wurde erstellt von DocKugelfisch, 7. Mai 2013.

  1. DocKugelfisch
    Offline

    DocKugelfisch Moderator Digital Eliteboard Team

    Registriert:
    9. Mai 2008
    Beiträge:
    3.242
    Zustimmungen:
    2.792
    Punkte für Erfolge:
    113
    Die beiden Krypto-Forscher Ari Juels und Ronald Rivest (das "R" in RSA) haben Du mußt dich Registrieren um diesen Link sehen zu können. Hier klicken und kostenlos Registrieren, das dabei helfen soll, einen Einbruch in die Datenbank einer Web-Anwendung zu entdecken. Es beruht darauf, falsche Passwörter als Köder auszulegen und bei deren Einsatz Alarm zu schlagen.
    Dabei werden in der Datenbank zu jedem Benutzer – neben dessen eigentlichem Passwort – noch einige sogenannte Honeywords gespeichert. Ein Angreifer, der sich Zugriff auf die Datenbank verschafft, soll diese nicht von dem echten Passwort unterscheiden können; auch die Honeywords werden als gesalzene Hashes gespeichert.
    Wenn es dem Angreifer gelingt, die gestohlenen Hashes zu knacken, wird er unter Umständen versuchen, sich damit einzuloggen. Erwischt er dabei eines der Honeywords, weiß die Web-Anwendung, dass etwas faul sein muss – der Account-Inhaber kennt die Köder-Wörter schließlich nicht, das vermeintliche Passwort muss also aus der Datenbank entwendet worden sein. In diesem Fall kann die Anwendungen den betroffenen Account sperren oder stillen Alarm auslösen und den Angreifer auf ein Honeypot-System lenken, auf dem er sich austoben kann.
    Freilich geht das Konzept nur auf, wenn die Information darüber, bei welchem der Hashes es sich tatsächlich um das Nutzerpasswort handelt, nicht auf dem gleichen Server gespeichert wird wie die Hashes selbst. Die Forscher sehen deshalb ein sicheres, abgeschottetes System vor, das bei Login-Versuchen über einen verschlüsselten Kanal darüber informiert wird, welche Passwort-Möglichkeit zum Einsatz kam. Dieser sogenannte Honeychecker kennt weder das Passwort noch das Honeyword. Er weiß lediglich, an welcher Position das tatsächliche Passwort bei dem jeweiligen Nutzer in der Datenbank gespeichert ist.

    heise.de
     
    #1

Direkt Antworten

Überprüfung:
Der Entwurf wurde gespeichert Der Entwurf wurde gelöscht

Diese Seite empfehlen

OK Mehr information

Diese Seite verwendet Cookies. Mit Ihrem Klick auf OK stimmen Sie der Verwendung von Cookies zu. Andernfalls ist die Funktionalität dieser Website beschränkt.