Abo
  • Services:
Anzeige
Passwortdatenbanken sollen mit Honigwörtern abgesichert werden.
Passwortdatenbanken sollen mit Honigwörtern abgesichert werden. (Bild: David Silverman/Getty Images)

RSA-Entwickler: Mit Honeywords gegen Passwortklau

Passwortdatenbanken sollen mit Honigwörtern abgesichert werden.
Passwortdatenbanken sollen mit Honigwörtern abgesichert werden. (Bild: David Silverman/Getty Images)

Um geklaute Passwörter und deren Nutzung zu entdecken, schlagen Ari Juels und Ronald Rivest die Nutzung von Honeywords vor. Ein Angreifer kann diese nicht von den eigentlichen Passwörtern unterscheiden und geht bei der Benutzung in eine Falle, die einen Alarm auslösen kann.

Ari Juels von den RSA Labs und Ronald Rivest, einer der Erfinder von RSA, schlagen Serverbetreibern die Nutzung sogenannter Honeywords vor. Honeywords heißen so in Anlehnung an den Begriff Honeypot (Honigtopf) und sollen Angriffe aufdecken, ohne dass der Angreifer das bemerkt. In einem Research Paper, über das Ars Technica berichtet, wird der Ansatz detailliert beschrieben.

Anzeige

Einem Nutzerzugang soll nicht nur ein Passwort zugeordnet werden, sondern mehrere. Neben dem echten Passwort existiert in der Datenbank also auch ein Honeyword. Nicht nur ausgewählte Zugänge sollen mit einem oder mehreren Honeywords ausgestattet werden. Die Forscher setzen darauf, dass sämtliche Zugänge mit so einem falschen Passwort präpariert sind. Einem Angreifer soll es dabei nicht gelingen, ein Honeyword von einem Passwort zu unterscheiden.

Sugarword, Honeywords und die Tough Nut

In der Liste der Passwörter befinden sich neben dem echten Passwort (Sugarword) eine Reihe von Honeywords sowie eine Tough Nut, die schwer zu knackende Nuss. Letzteres ist ein schwer zurückrechenbares Passwort und kann auch das echte Passwort sein.

Die Passwörter werden idealerweise während der Erzeugung des Sugarwords erzeugt und dann in zufälliger Reihenfolge abgelegt. Hier sehen Juels und Rivest allerdings auch eine Schwachstelle. Der Algorithmus zur Erzeugung der Honeywords sollte so gut sein, dass ein Angreifer nicht durch eine Analyse herausfinden kann, wie diese generiert werden. Die gestohlene Datenbank könnte sonst von den Honeywords bereinigt werden.

Diebe erlangen Kenntnis über Salt- und Hash-Parameter 

eye home zur Startseite
posix 20. Mai 2013

Nein es liegt nichts im Klartext vor, du hast dich nie mit diesem Programm eingehend...

me2 09. Mai 2013

Jein. Eine Benutzer-Passwort-Kombination kann mehr wert sein, als nur eine...

a user 08. Mai 2013

jain. die definition eines hashes ist natürlich, dass er einfach für eine eingabe zu...

a user 08. Mai 2013

nein, würde es nicht. 1. "random" darf das nicht sein, sonst können bei der...

Endwickler 08. Mai 2013

Ja, der Titel kam mir auch so in den Sinn. Das erste mal, dass ich so etwas implementiert...



Anzeige

Stellenmarkt
  1. RUAG Ammotec GmbH, Fürth (Region Nürnberg)
  2. BVU Beratergruppe Verkehr + Umwelt GmbH, Freiburg
  3. Media-Saturn E-Business Concepts & Services GmbH, Ingolstadt
  4. init AG, Karlsruhe


Anzeige
Spiele-Angebote
  1. 399,00€ (Vorbesteller-Preisgarantie) - Release 02.08.
  2. 59,99€/69,99€ (Vorbesteller-Preisgarantie)
  3. 209,99€/219,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitskonzeption für das App-getriebene Geschäft
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Mehr dazu im aktuellen Whitepaper von IBM


  1. Spionage im Wahlkampf

    Russland soll hinter neuem Hack von US-Demokraten stecken

  2. Comodo

    Zertifikatsausstellung mit HTML-Injection ausgetrickst

  3. Autonomes Fahren

    Mercedes stoppt Werbespot wegen überzogener Versprechen

  4. Panne behoben

    Paypal-Lastschrifteinzug funktioniert wieder

  5. Ecix

    Australier übernehmen zweitgrößten deutschen Internetknoten

  6. Die Woche im Video

    Ab in den Urlaub!

  7. Ausfall

    Störung im Netz von Netcologne

  8. Cinema 3D

    Das MIT arbeitet an 3D-Kino ohne Brille

  9. AVM

    Hersteller für volle Routerfreiheit bei Glasfaser und Kabel

  10. Hearthstone

    Blizzard feiert eine Nacht in Karazhan



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Xiaomi Mi Band 2 im Hands on: Fitness-Preisbrecher mit Hack-App
Xiaomi Mi Band 2 im Hands on
Fitness-Preisbrecher mit Hack-App
  1. Mi Notebook Air Xiaomi steigt mit Kampfpreisen ins Notebook-Geschäft ein
  2. Xiaomi Hugo Barra verkündet Premium-Smartphone
  3. Redmi 3S Xiaomis neues Smartphone kostet umgerechnet 95 Euro

Amoklauf in München: De Maizière reanimiert Killerspiel-Debatte
Amoklauf in München
De Maizière reanimiert Killerspiel-Debatte
  1. Killerspiel-Debatte ProSieben Maxx stoppt Übertragungen von Counter-Strike

Schwachstellen aufgedeckt: Der leichtfertige Umgang mit kritischen Infrastrukturen
Schwachstellen aufgedeckt
Der leichtfertige Umgang mit kritischen Infrastrukturen
  1. Keysniffer Millionen kabellose Tastaturen senden Daten im Klartext
  2. Tor Hidden Services Über 100 spionierende Tor-Nodes
  3. Pilotprojekt EU will Open Source sicherer machen

  1. Egal - mit cygwin sucht man effektiv und sicher

    JohnDoe1984 | 05:22

  2. Snowden hat beim konkreten Fall recht.

    Pjörn | 04:43

  3. Re: Verstehe nur Bahnhof

    beaglow | 04:04

  4. Re: Wahnsinn...

    tingelchen | 03:53

  5. Re: Sind die Nutzer alle zu Blöd den "Downloads...

    KrasnodarLevita... | 02:29


  1. 14:22

  2. 13:36

  3. 13:24

  4. 13:13

  5. 12:38

  6. 09:01

  7. 18:21

  8. 18:05


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel