Windows

'ハニーワード'を使用するとパスワードクラッカーが暴露される可能性がある

「ハッシュされたパスワードのファイルを盗み出し、ハッシュ関数を反転させた敵は、パスワードやハニカムを見つけたかどうかを知ることができません"RSA LabsのAri JuelsとRonald L. Rivest教授は、先週発表されたHoneywords:Making Password-cracking Detectableというタイトルの論文を書きました。

[詳しい読書:あなたの風からマルウェアを削除する方法

ハニーワードを使って塩漬けされたパスワードデータベースは、排他的に専用のサーバーに接続されます。

有効なパスワードとハニカムの間。アカウントにログインするのに使用されているハニカムを検出すると、イベントのサイト管理者に警告し、アカウントをロックダウンできます。

ハニカムを使用しても、ハッカーがウェブサイトを侵害してパスワードを盗むのを防ぐことはできません。

Rapid7のセキュリティエンジニアのシニアマネージャーであるRoss Barrettは、PCWorldに対し、特にこれらの多くを明らかにするにはどのくらいの時間がかかるかを考慮して、Webサイトの運営者に警告します。妥協案の検出に要する平均時間は6ヶ月であり、昨年よりも増加している」と述べた。しかし、ハッカーがハニーワードを使用していると知っていれば、アカウントは自動的にロックダウンされるハニーワードが使用されている場合、ハニーワードは実際にサイト上でDoS攻撃を生成するために使用される可能性があります。

このスキームはまた、攻撃者に別の潜在的なターゲット、ハニーチェッカーを与えます。チェッカーとWebサイトサーバーの間の通信が中断された場合、Webサイトがクラッシュする可能性があります。

ハニーチェッカーが侵害されても、Webサイトのオペレーターは、

JuelsとRivestは、ハニーチェッカーがコンピュータから切り離されていることを彼らの論文で勧めている、と彼は言いました: "彼らのウェブサイトに侵入したハッカーが、システムはウェブサイトを運営しています

「2つのシステムは異なる管理ドメインに置かれ、異なるオペレーティングシステムなどを実行するかもしれません」と彼らは書いています。

完全な修正ではありません

ハニカムの使用は、ハッカーがパスワードデータベースを盗んで自分の秘密を盗まれることを防ぐことはできません、Juels and Rivest

ロン教授MIT教授しかし、彼らは彼らの論文に「ハニカムが使用されるときの大きな違いは、ブルートフォースパスワードの成功が成功すれば、彼が首尾よくログインし、検出できないという自信を持たないということです」と付け加えています。著者たちは、「ハニーチェッカーの使用は、攻撃者がパスワードハッシュの妥協を検出する大きな可能性でログインしたり、ハニーチェッカーを"

ハニー・ワードは、パスワードに関する既知の問題や「何かを知っている」認証の多くが一般的に含まれているため、ネット上でのユーザー認証に対する完全に満足できる解決策ではないことを認めています。最終的には、パスワードは、より強力で便利な認証方法で補完されるべきであり、より良い認証方法に完全に向かうべきだ」と書いている。