Passwortdatenbanken sollen mit Honigwörtern abgesichert werden.
Passwortdatenbanken sollen mit Honigwörtern abgesichert werden. (Bild: David Silverman/Getty Images)

RSA-Entwickler Mit Honeywords gegen Passwortklau

Um geklaute Passwörter und deren Nutzung zu entdecken, schlagen Ari Juels und Ronald Rivest die Nutzung von Honeywords vor. Ein Angreifer kann diese nicht von den eigentlichen Passwörtern unterscheiden und geht bei der Benutzung in eine Falle, die einen Alarm auslösen kann.

Anzeige

Ari Juels von den RSA Labs und Ronald Rivest, einer der Erfinder von RSA, schlagen Serverbetreibern die Nutzung sogenannter Honeywords vor. Honeywords heißen so in Anlehnung an den Begriff Honeypot (Honigtopf) und sollen Angriffe aufdecken, ohne dass der Angreifer das bemerkt. In einem Research Paper, über das Ars Technica berichtet, wird der Ansatz detailliert beschrieben.

Einem Nutzerzugang soll nicht nur ein Passwort zugeordnet werden, sondern mehrere. Neben dem echten Passwort existiert in der Datenbank also auch ein Honeyword. Nicht nur ausgewählte Zugänge sollen mit einem oder mehreren Honeywords ausgestattet werden. Die Forscher setzen darauf, dass sämtliche Zugänge mit so einem falschen Passwort präpariert sind. Einem Angreifer soll es dabei nicht gelingen, ein Honeyword von einem Passwort zu unterscheiden.

Sugarword, Honeywords und die Tough Nut

In der Liste der Passwörter befinden sich neben dem echten Passwort (Sugarword) eine Reihe von Honeywords sowie eine Tough Nut, die schwer zu knackende Nuss. Letzteres ist ein schwer zurückrechenbares Passwort und kann auch das echte Passwort sein.

Die Passwörter werden idealerweise während der Erzeugung des Sugarwords erzeugt und dann in zufälliger Reihenfolge abgelegt. Hier sehen Juels und Rivest allerdings auch eine Schwachstelle. Der Algorithmus zur Erzeugung der Honeywords sollte so gut sein, dass ein Angreifer nicht durch eine Analyse herausfinden kann, wie diese generiert werden. Die gestohlene Datenbank könnte sonst von den Honeywords bereinigt werden.

Diebe erlangen Kenntnis über Salt- und Hash-Parameter 

posix 20. Mai 2013

Nein es liegt nichts im Klartext vor, du hast dich nie mit diesem Programm eingehend...

me2 09. Mai 2013

Jein. Eine Benutzer-Passwort-Kombination kann mehr wert sein, als nur eine...

a user 08. Mai 2013

jain. die definition eines hashes ist natürlich, dass er einfach für eine eingabe zu...

a user 08. Mai 2013

nein, würde es nicht. 1. "random" darf das nicht sein, sonst können bei der...

Endwickler 08. Mai 2013

Ja, der Titel kam mir auch so in den Sinn. Das erste mal, dass ich so etwas implementiert...

Kommentieren



Anzeige

  1. IT-Specialist (m/w) Logistiksysteme & EDI
    ALDI SÜD, Mülheim an der Ruhr
  2. Systemarchitekt IT (m/w)
    Robert Bosch Car Multimedia GmbH, Hildesheim
  3. Webentwickler (m/w) Backend für mediamarkt.de & saturn.de
    redblue Marketing GmbH, München
  4. Ingenieur Softwareentwicklung (m/w) im Bereich Entwicklung / Automatisierungstechnik
    ROHDE & SCHWARZ GmbH & Co. KG, Teisnach

 

Detailsuche


Blu-ray-Angebote
  1. NEU: Fack ju Göhte [Blu-ray]
    7,50€
  2. Blu-rays je 5 EUR
    (u. a. John Dies at the End, Odd Thomas, Ong-Bak, Daybreakers, The Guard)
  3. Blu-rays unter 5 EUR
    (u. a. A Chinese Ghost Story - Die Dämonenkrieger, Frozen River, Bienen, The Veteran, 96 Minuten)

 

Weitere Angebote


Folgen Sie uns
       


  1. Windows 10 im Tablet-Test

    Ein sinnvolles Windows für Tablets

  2. Elon Musk

    Tesla-Fahrer sollen neue Tesla-Fahrer werben

  3. Minecraft

    Beta mit nutzbarer Zweithand

  4. Schwachstelle

    MKV-Dateien können Android einfrieren

  5. National Strategic Computing Initiative

    Präsident Obama fordert den Exascale-Supercomputer

  6. World of Warcraft

    Blizzard kündigt sechste Erweiterung an

  7. Microsoft

    DVD-Player-App für Windows 10 nicht für jeden gratis

  8. Elio Motors

    25 Millionen US-Dollar für Dreirad-Auto mit 2,8-Liter-Verbrauch

  9. Adobe

    Keine Camera-Raw-Updates mehr für Photoshop CS6

  10. Windows 10

    Startmenü macht nach 512 Programmen schlapp



Haben wir etwas übersehen?

E-Mail an news@golem.de



Neue WLAN-Router-Generation: Hohe Bandbreiten mit zweifelhaftem Nutzen
Neue WLAN-Router-Generation
Hohe Bandbreiten mit zweifelhaftem Nutzen
  1. EA8500 Linksys' MU-MIMO-Router kostet 300 Euro
  2. Aruba Networks 802.11ac-Access-Points mit integrierten Bluetooth Beacons
  3. 802.11ac Wave 2 Neue Chipsätze für die zweite Welle von ac-WLAN

Simulus QR-X350.PRO im Test: Der Quadcopter, der vom Himmel fiel
Simulus QR-X350.PRO im Test
Der Quadcopter, der vom Himmel fiel
  1. Flugverkehrskontrolle Amazon will Drohnenverkehr regeln
  2. Paketzustellung Google will Flugverkehrskontrolle für Drohnen entwickeln
  3. Luftzwischenfall Beinahekollision zwischen Lufthansa-Flugzeug und Drohne

OCZ Trion 100 im Test: Macht sie günstiger!
OCZ Trion 100 im Test
Macht sie günstiger!
  1. PM863 Samsung packt knapp 4 TByte in ein flaches Gehäuse
  2. 850 Evo und Pro Samsung veröffentlicht erste Consumer-SSDs mit 2 TByte
  3. TLC-Flash Samsung plant SSDs mit 2 und 4 TByte

  1. Re: System-Seller

    mnementh | 11:59

  2. Re: Leider zu kindisch geworden...

    Ohho | 11:59

  3. Re: Nodoby needs more than...

    Manga | 11:59

  4. Re: Usability ... just sucks!

    DeathMD | 11:59

  5. Re: das klingt jetzt aber wirklich mal nach dem...

    nykiel.marek | 11:59


  1. 12:05

  2. 11:57

  3. 11:02

  4. 10:43

  5. 10:12

  6. 10:00

  7. 09:33

  8. 08:32


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel