L'utilisation de 'honeywords' peut exposer les crackers de mots de passe

Ils proposent de saler la base de mots de passe d'un site web avec beaucoup de faux mots de passe Les mots de passe dans les bases de mots de passe sont généralement "hachés" ou brouillés pour protéger leur secret.

"Un adversaire qui vole un fichier de mots de passe hachés et inverse la fonction de hachage ne sait pas s'il a trouvé le mot de passe »Ari Juels de RSA Labs et Ronald L. Rivest, professeur au MIT, ont écrit dans un article intitulé Honeywords: Making Password-cracking détectable, publié la semaine dernière.

[Plus d'informations: Comment supprimer les logiciels malveillants de votre vent ows PC]

"La tentative d'utilisation d'un honeyword pour se connecter déclenche une alarme", ajoutent-ils.

Comment cela fonctionnera

Une base de mots de passe salée avec honeywords serait connectée à un serveur dédié exclusivement à entre les mots de passe valides et les mots de miel. Quand il détecte un mot de passe utilisé pour se connecter à un compte, il alertera un administrateur du site de l'événement, qui peut verrouiller le compte.

L'utilisation de honeywords n'empêchera pas les pirates de pirater votre site et de voler vos mots de passe. Ross Barrett, directeur principal de l'ingénierie de sécurité chez Rapid7, a déclaré à PCWorld, en particulier à la lumière du temps qu'il faut pour en découvrir un grand nombre.

"Le délai moyen de détection d'un compromis est de six mois", a-t-il dit, "et cela a augmenté par rapport à l'année dernière."

Cependant, si les pirates savaient qu'un site utilisait des mots croisés Quand un honeyword est utilisé, les honeywords peuvent être utilisés pour créer une attaque de déni de service sur le site.

Le plan donne aussi aux attaquants une autre cible potentielle: le honeychecker. Si les communications entre le vérificateur et le serveur du site Web sont perturbées, le site Web pourrait tomber en panne.

Même si le porteur de puce est compromis, un opérateur de site Web est toujours mieux avec des mots en miel que sans eux.

"Il était probablement beaucoup plus difficile pour les pirates informatiques de percer sur leur site que s'ils n'avaient pas de puce," dit-il.

Juels et Rivest recommandent dans leur document que la puce soit séparée de l'ordinateur

"Les deux systèmes peuvent être placés dans des domaines administratifs différents, exécuter des systèmes d'exploitation différents, etc.", écrit-il.

Le chèque-mère peut également être conçu de manière à ce qu'il n'interface pas directement

Pas une solution totale

L'utilisation de honeywords n'empêchera pas les pirates de voler des bases de données de mots de passe et de percer leurs secrets, Juels et Rivest. reconnaître.

MIT Professeur Ronal L. Rivest

"Cependant, ajoutent-ils dans leur article," la grande différence quand on utilise des honeywords, c'est qu'une coupure de mot de passe brutale réussie ne donne pas à l'adversaire confiance qu'il peut se connecter avec succès. "

"L'utilisation d'un nid d'abeille", disent les auteurs, "oblige donc un adversaire à risquer de se connecter avec une grande chance de provoquer la détection du compromis du mot de passe … ou de tenter de compromettre le chèque comme bien. "

Les chercheurs admettent que les honeywords ne sont pas une solution totalement satisfaisante à l'authentification des utilisateurs sur le Net parce que le système contient beaucoup de problèmes connus avec les mots de passe et l'authentification" quelque chose que vous savez ". Finalement, écrivaient-ils, les mots de passe devraient être complétés par des méthodes d'authentification plus solides et plus pratiques … ou laisser la place à de meilleures méthodes d'authentification. "