Honeywords: Making Password-Cracking Detectable
Índice:
- Um banco de dados de senhas salgado com honeywords seria conectado a um servidor dedicado exclusivamente a distinguir entre senhas válidas e honeywords. Quando ele detecta uma honeyword sendo usada para entrar em uma conta, ele alerta o administrador do site sobre o evento, que pode bloquear a conta.
- O uso de honeywords não impede que hackers roubem bancos de dados de senhas e quebrem seus segredos, Juels e Rivest reconhecer.
Eles propõem salgar um banco de dados de senhas de sites com muitas senhas falsas chamadas “honeywords.” Senhas em bancos de dados de senhas são tipicamente “hash” ou embaralhadas para proteger seu sigilo.
“Um adversário que rouba um arquivo de senhas com hash e inverte a função hash não sabe se encontrou a senha ou uma honeyword, Ari Juels da RSA Labs e MIT Professor Ronald L. Rivest escreveu em papel intitulado Honeywords: Making Password-cracking Detectable que foi lançado na semana passada.
[Leia mais: Como remover malware do seu vento ows PC]
“A tentativa de uso de uma honeyword para login dispara um alarme”, acrescentaram.Como funcionaria
Um banco de dados de senhas salgado com honeywords seria conectado a um servidor dedicado exclusivamente a distinguir entre senhas válidas e honeywords. Quando ele detecta uma honeyword sendo usada para entrar em uma conta, ele alerta o administrador do site sobre o evento, que pode bloquear a conta.
Usar o honeywords não impede que hackers invadam seu site e roubem suas senhas, mas alertará os operadores do site que uma violação pode ter ocorrido
“Isso é muito valioso”, disse Ross Barrett, gerente sênior de engenharia de segurança da Rapid7 à PCWorld - especialmente à luz do tempo que está demorando para descobrir muitos deles.
“O tempo médio para detecção de um compromisso é de seis meses”, ele disse, “e isso aumentou desde o ano passado.”
No entanto, se hackers soubessem que um site estava usando honeywords e contas são automaticamente bloqueadas quando uma honeyword é usada, as honeywords podem realmente ser usadas para criar um ataque de negação de serviço no site.
O esquema também dá aos invasores outro alvo em potencial: o honeychecker. Se as comunicações entre o verificador e o servidor do site forem interrompidas, o site poderá falhar.
Mesmo se o honeychecker estiver comprometido, porém, um operador de site ainda está melhor com honeywords do que sem elas, argumentou Barrett.
"Provavelmente foi muito mais difícil para esses hackers inventarem o site deles do que se eles não tivessem um honeychecker", disse ele.
Juels e Rivest recomendam em seu jornal que o honeychecker seja separado do computador sistemas que executam um site da Web.
“Os dois sistemas podem ser colocados em diferentes domínios administrativos, executar sistemas operacionais diferentes e assim por diante”, eles escreveram.
O honeychecker também pode ser projetado para não interagir diretamente com a Internet, que também reduziria a capacidade do atacante de hackeá-lo, observou Barrett.
Não é uma correção total
O uso de honeywords não impede que hackers roubem bancos de dados de senhas e quebrem seus segredos, Juels e Rivest reconhecer.
Professor Ronal do MIT d. Rivest
“O uso de um honeychecker”, dizem os autores, “força um adversário a arriscar entrar com uma grande chance de causar a detecção do comprometimento do hash da senha… ou então tentar comprometer o honeychecker como bem. ”
Os pesquisadores admitem que as honeywords não são uma solução totalmente satisfatória para a autenticação do usuário na Net, porque o esquema contém muitos dos problemas conhecidos com senhas e autenticação“ algo que você conhece ”em geral.
“ Eventualmente, ”eles escreveram,“ senhas deveriam ser suplementadas com métodos de autenticação mais fortes e mais convenientes… ou dar lugar a melhores métodos de autenticação completamente. ”
No entanto, o Obama-berry pode estar sujeito a limitações semelhantes àquelas colocadas em dispositivos usados pelos funcionários anteriores da Casa Branca. Os usuários de PDA na Administração Bush tiveram suas funções de GPS desativadas, nenhum dado sigiloso pôde ser transmitido pelos dispositivos e eles não puderam ser usados no exterior, onde as redes de celulares poderiam ser menos seguras. Considerando que Obama pretende usar seu dispositivo para uso pessoal e mensagens de rotina, essas
Equipe Obama 1, Burocratas 0
China proíbe o uso de terapia de choque para tratar vício em internet depois que seu uso em um hospital provocou polêmica em todo o país. A China proibiu o uso da terapia de choque para tratar o vício em Internet depois que seu uso em um hospital provocou polêmica em todo o país. O hospital chamou a atenção da mídia nos últimos meses depois que usuários da internet afirmaram ter recebido o tratamento. Fóruns sobre ser amarrado e submetido a choques por 30 minutos de cada vez
Uma declaração no site do Ministério da Saúde chinês disse que a prática não tinha base médica e proibia seu uso clínico. A ordem proibiu a prática em todo o país, mas mencionou especificamente o notório hospital na província de Shandong. As ligações para o hospital de Shandong não foram respondidas na manhã de quarta-feira, mas uma porta-voz do hospital disse na semana passada que a mídia "sensacionalista" já havia tratamento. Os choques foram feitos para fazer com que os sujeitos associassem u
Senhas específicas de aplicativos enfraquecem a autenticação de dois fatores do Google, dizem pesquisadores Pesquisadores descobriram uma brecha no sistema de autenticação do Google que permitia para ignorar a verificação de login em duas etapas da empresa abusando das senhas exclusivas usadas para aplicativos individuais.
Pesquisadores do provedor de autenticação de dois fatores Duo Security descobriram uma brecha no sistema de autenticação do Google que permitiu ignorar a verificação de login em duas etapas da empresa abusando das senhas exclusivas usadas para conectar aplicativos individuais às contas do Google.