Abo
  • Services:
Anzeige
Passwortdatenbanken sollen mit Honigwörtern abgesichert werden.
Passwortdatenbanken sollen mit Honigwörtern abgesichert werden. (Bild: David Silverman/Getty Images)

Diebe erlangen Kenntnis über Salt- und Hash-Parameter

Für das Szenario wird zudem davon ausgegangen, dass nicht nur die Passwortdatei verschwindet, sondern auch die Hash- und Salt-Parameter mitgenommen werden. Der Honeychecker prüft nun über eine Kommunikation mit dem eigentlichen Authentifizierungsserver, ob ein Honeyword benutzt wurde. Ist das der Fall, schlägt das System Alarm.

Der Honeychecker kennt keine Passwörter

Der Honeychecker selbst kennt weder die Passwörter noch die Honeywords. Er kennt nur die Datenbankposition des echten Passworts. Die Kommunikation zwischen dem Honeychecker und dem eigentlichen System ist daher einfach. Der Honeychecker gibt sein Okay oder verweigert es bei einem Honeyword. Er muss aber nicht so agieren. Denkbar ist, dass der Honeychecker auch ein Honeyword erlaubt und stattdessen einen stillen Alarm zum Administrator schickt und das Aufzeichnen der Logs bei dem Nutzer eines Honeywords erweitert, um so den Angreifer und dessen Methoden besser aufzuspüren. Die Forscher sehen in dem Honeychecker durchaus eine zusätzliche Schwachstelle, die besonders abgesichert werden muss, damit auch Angriffe auf die Infrastruktur hinter der eigentlichen Authentifizierung unwahrscheinlich werden. Es ist aber in jedem Fall ein zusätzlicher Schutz, den ein Angreifer erst einmal überwinden muss.

Anzeige

Die beiden Forscher sind sicher, dass der Honeyword-Ansatz leicht in Systeme zu integrieren ist und die Sicherheit massiv erhöht. Mit dem Risiko einer Entdeckung konfrontiert, würde sich zudem ein Angriff über Datenbanken nicht mehr so sehr lohnen. Kriminelle müssten also andere Wege finden, um an das Passwort eines Nutzers heranzukommen.

Bei einem Angriff kann es natürlich vorkommen, dass der Angreifer nicht eines der Honeywords, sondern das echte Passwort benutzt. Das ist eine Frage der Wahrscheinlichkeit und spricht für eine große Anzahl von Honeywords. Das soll auch keine Probleme für den Speicherbedarf darstellen, da es häufig üblich ist, mehrere Hashes zu speichern, damit der Nutzer bei einem Passwortwechsel nicht einfach ein älteres wiederverwendet. Dem Research Paper zufolge sollten Serverbetreiber diese älteren Passwortdaten jedoch keinesfalls speichern. Auch wenn Speicherplatz so günstig ist, dass eine größere Passwortdatenbank vor allem im Vergleich zu Nutzerdaten keine große Rolle spielt.

Zunehmende Angriffe werden ein Problem für alle Nutzer im Internet

Die Forscher empfehlen die Implementierung der Methode vor allem wegen der gestiegenen Zahl der Angriffe auf Passwortdatenbanken. Selbst große Dienste wie Evernote mit seinen 50 Millionen Nutzern hat es schon erwischt. Durch die große Anzahl von Hacks sind viele Anwender betroffen, und deren Passwörter sind damit in Passwortlisten gespeichert. Sollte ein Anwender dieses Passwort noch in anderen Diensten verwenden, ist er leicht hackbar.

Das Research Paper geht noch etwas über die reine Honeyword-Methode hinaus und gibt weitere Vorschläge zur Passwortverbesserung und damit auch einer Erhöhung der Sicherheit. Das Papier selbst ist laut den Forschern nur der Anfang für eine grundlegende Verbesserung der Sicherheit in Passwortinfrastrukturen.

 RSA-Entwickler: Mit Honeywords gegen Passwortklau

eye home zur Startseite
posix 20. Mai 2013

Nein es liegt nichts im Klartext vor, du hast dich nie mit diesem Programm eingehend...

me2 09. Mai 2013

Jein. Eine Benutzer-Passwort-Kombination kann mehr wert sein, als nur eine...

a user 08. Mai 2013

jain. die definition eines hashes ist natürlich, dass er einfach für eine eingabe zu...

a user 08. Mai 2013

nein, würde es nicht. 1. "random" darf das nicht sein, sonst können bei der...

Endwickler 08. Mai 2013

Ja, der Titel kam mir auch so in den Sinn. Das erste mal, dass ich so etwas implementiert...



Anzeige

Stellenmarkt
  1. Daimler AG, Stuttgart
  2. Bundesnachrichtendienst, Berlin
  3. Bundesnachrichtendienst, Pullach bei München, Bad Aibling
  4. Media-Saturn-Holding GmbH, Ingolstadt


Anzeige
Blu-ray-Angebote
  1. (mehr als 2.500 reduzierte Titel)
  2. 29,99€ (Vorbesteller-Preisgarantie)
  3. (u. a. Der Marsianer, The Hateful 8, Interstellar, Django Unchained, London Has Fallen, Olympus Has...

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  3. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Spielebranche

    Goodgame Studios entlässt weitere 200 Mitarbeiter

  2. Project Scorpio

    Neue Xbox ohne ESRAM, aber mit Checkerboard

  3. DirectX 12

    Microsoft legt Shader-Compiler offen

  4. 3G-Abschaltung

    Telekom-Mobilfunkverträge nennen UMTS-Ende

  5. For Honor

    PC-Systemanforderungen für Schwertkämpfer

  6. Innogy

    Telekom will auch FTTH anmieten

  7. Tissue Engineering

    3D-Drucker produziert Haut

  8. IBM-Übernahme

    Agile 3 bringt Datenübersicht in die Chefetage

  9. Sicherheitsupdate

    Apple patcht Root-Exploits für fast alle Plattformen

  10. Aktionsbündnis Gigabit

    Nordrhein-Westfalen soll flächendeckend Glasfaser erhalten



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Donald Trump: Ein unsicherer Deal für die IT-Branche
Donald Trump
Ein unsicherer Deal für die IT-Branche
  1. Potus Donald Trump übernimmt präsidiales Twitter-Konto
  2. USA Amazon will 100.000 neue Vollzeitstellen schaffen
  3. Trump auf Pressekonferenz "Die USA werden von jedem gehackt"

Begnadigung: Danke, Chelsea Manning!
Begnadigung
Danke, Chelsea Manning!
  1. Die Woche im Video B/ow the Wh:st/e!
  2. Verwirrung Assange will nicht in die USA - oder doch?
  3. Whistleblowerin Obama begnadigt Chelsea Manning

Mi Mix im Test: Xiaomis randlose Innovation mit kleinen Makeln
Mi Mix im Test
Xiaomis randlose Innovation mit kleinen Makeln
  1. Smartphone-Hersteller Hugo Barra verlässt Xiaomi
  2. Xiaomi Mi Note 2 im Test Ein Smartphone mit Ecken ohne Kanten

  1. jetzt können soenes gern abschalten

    triplekiller | 20:20

  2. Re: Mir graust es etwas vor dem Sierra-Update

    HanSwurst101 | 20:18

  3. Re: Ehrlich gesagt...

    triplekiller | 20:16

  4. Re: Deadpool - Beileid

    trapperjohn | 20:16

  5. Re: Sitzabstand

    neocron | 20:15


  1. 18:21

  2. 18:16

  3. 17:44

  4. 17:29

  5. 16:57

  6. 16:53

  7. 16:47

  8. 16:14


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel