RSA-Entwickler: Mit Honeywords gegen Passwortklau
Passwortdatenbanken sollen mit Honigwörtern abgesichert werden. (Bild: David Silverman/Getty Images)

RSA-Entwickler Mit Honeywords gegen Passwortklau

Um geklaute Passwörter und deren Nutzung zu entdecken, schlagen Ari Juels und Ronald Rivest die Nutzung von Honeywords vor. Ein Angreifer kann diese nicht von den eigentlichen Passwörtern unterscheiden und geht bei der Benutzung in eine Falle, die einen Alarm auslösen kann.

Anzeige

Ari Juels von den RSA Labs und Ronald Rivest, einer der Erfinder von RSA, schlagen Serverbetreibern die Nutzung sogenannter Honeywords vor. Honeywords heißen so in Anlehnung an den Begriff Honeypot (Honigtopf) und sollen Angriffe aufdecken, ohne dass der Angreifer das bemerkt. In einem Research Paper, über das Ars Technica berichtet, wird der Ansatz detailliert beschrieben.

Einem Nutzerzugang soll nicht nur ein Passwort zugeordnet werden, sondern mehrere. Neben dem echten Passwort existiert in der Datenbank also auch ein Honeyword. Nicht nur ausgewählte Zugänge sollen mit einem oder mehreren Honeywords ausgestattet werden. Die Forscher setzen darauf, dass sämtliche Zugänge mit so einem falschen Passwort präpariert sind. Einem Angreifer soll es dabei nicht gelingen, ein Honeyword von einem Passwort zu unterscheiden.

Sugarword, Honeywords und die Tough Nut

In der Liste der Passwörter befinden sich neben dem echten Passwort (Sugarword) eine Reihe von Honeywords sowie eine Tough Nut, die schwer zu knackende Nuss. Letzteres ist ein schwer zurückrechenbares Passwort und kann auch das echte Passwort sein.

Die Passwörter werden idealerweise während der Erzeugung des Sugarwords erzeugt und dann in zufälliger Reihenfolge abgelegt. Hier sehen Juels und Rivest allerdings auch eine Schwachstelle. Der Algorithmus zur Erzeugung der Honeywords sollte so gut sein, dass ein Angreifer nicht durch eine Analyse herausfinden kann, wie diese generiert werden. Die gestohlene Datenbank könnte sonst von den Honeywords bereinigt werden.

Diebe erlangen Kenntnis über Salt- und Hash-Parameter 

posix 20. Mai 2013

Nein es liegt nichts im Klartext vor, du hast dich nie mit diesem Programm eingehend...

me2 09. Mai 2013

Jein. Eine Benutzer-Passwort-Kombination kann mehr wert sein, als nur eine...

a user 08. Mai 2013

jain. die definition eines hashes ist natürlich, dass er einfach für eine eingabe zu...

a user 08. Mai 2013

nein, würde es nicht. 1. "random" darf das nicht sein, sonst können bei der...

Endwickler 08. Mai 2013

Ja, der Titel kam mir auch so in den Sinn. Das erste mal, dass ich so etwas implementiert...

Kommentieren



Anzeige

  1. Web-Entwickler (m/w)
    PROJECT PI Immobilien AG, Nürnberg
  2. Sachgebietsleiter (m/w) Controlling und kaufmännische EDV
    STWB Stadtwerke Bamberg GmbH, Bamberg
  3. Projektmanager (m/w) für Projekte im Bereich Store Solutions
    GK SOFTWARE AG, Schöneck / Vogtland, Berlin, St. Ingbert / Saarland
  4. Mitarbeiter (m/w) IT Services
    Horváth & Partners Management Consultants, Stuttgart

 

Detailsuche


Folgen Sie uns
       


  1. Air Food One

    Post liefert online bestelltes Lufthansa-Essen nach Hause

  2. Threshold

    Microsoft China scherzt über Startmenü in Windows 9

  3. Lieferdrohnen

    Nasa entwickelt Leitsystem für Flugroboter

  4. Radeon R9 285

    Die schnellste Grafikkarte mit nur zwei 6-Pol-Anschlüssen

  5. Bitcoin

    Charles Shrem will sich schuldig bekennen

  6. Mozilla

    Firefox 32 verbessert Werkzeuge und Leistung

  7. Shiro Games

    Evoland 2 soll Hommage an Rollenspiel-Genre werden

  8. Gegen Vectoring

    Tele Columbus erhöht auf 150 MBit/s

  9. Libdrm

    Mesa bekommt erste Android-Unterstützung

  10. Die Sims 4

    Erster Patch macht Zäune zu Zäunen



Haben wir etwas übersehen?

E-Mail an news@golem.de



Windows on Devices: Großes Betriebssystem auf kleinem Rechner
Windows on Devices
Großes Betriebssystem auf kleinem Rechner
  1. Entwicklerboard Microsoft verteilt kostenloses Windows für Intels Galileo
  2. Intel Galileo Generation 2 im August
  3. Intel Galileo Gen 2 Verbesserte Version für die Maker-Szene

Benq FHD Wireless Kit im Test: Full-HD bequem drahtlos durchs halbe Haus funken
Benq FHD Wireless Kit im Test
Full-HD bequem drahtlos durchs halbe Haus funken
  1. Project Ara Rockchip und Toshiba in Googles modularem Smartphone
  2. Google und Linaro Android-Fork für Modulsmartphone Ara

Alma und E-ELT: Auf den Spuren der Superteleskope
Alma und E-ELT
Auf den Spuren der Superteleskope
  1. Saturn Mit dem Enterprise-Warpcore Planeten erforschen
  2. Urknall Waren die Spuren des Urknalls nur Staubmuster?
  3. Astronomie Auf der Suche nach außerirdischer Luftverschmutzung

    •  / 
    Zum Artikel