Abo
  • Services:
Anzeige
Passwortdatenbanken sollen mit Honigwörtern abgesichert werden.
Passwortdatenbanken sollen mit Honigwörtern abgesichert werden. (Bild: David Silverman/Getty Images)

RSA-Entwickler: Mit Honeywords gegen Passwortklau

Passwortdatenbanken sollen mit Honigwörtern abgesichert werden.
Passwortdatenbanken sollen mit Honigwörtern abgesichert werden. (Bild: David Silverman/Getty Images)

Um geklaute Passwörter und deren Nutzung zu entdecken, schlagen Ari Juels und Ronald Rivest die Nutzung von Honeywords vor. Ein Angreifer kann diese nicht von den eigentlichen Passwörtern unterscheiden und geht bei der Benutzung in eine Falle, die einen Alarm auslösen kann.

Ari Juels von den RSA Labs und Ronald Rivest, einer der Erfinder von RSA, schlagen Serverbetreibern die Nutzung sogenannter Honeywords vor. Honeywords heißen so in Anlehnung an den Begriff Honeypot (Honigtopf) und sollen Angriffe aufdecken, ohne dass der Angreifer das bemerkt. In einem Research Paper, über das Ars Technica berichtet, wird der Ansatz detailliert beschrieben.

Anzeige

Einem Nutzerzugang soll nicht nur ein Passwort zugeordnet werden, sondern mehrere. Neben dem echten Passwort existiert in der Datenbank also auch ein Honeyword. Nicht nur ausgewählte Zugänge sollen mit einem oder mehreren Honeywords ausgestattet werden. Die Forscher setzen darauf, dass sämtliche Zugänge mit so einem falschen Passwort präpariert sind. Einem Angreifer soll es dabei nicht gelingen, ein Honeyword von einem Passwort zu unterscheiden.

Sugarword, Honeywords und die Tough Nut

In der Liste der Passwörter befinden sich neben dem echten Passwort (Sugarword) eine Reihe von Honeywords sowie eine Tough Nut, die schwer zu knackende Nuss. Letzteres ist ein schwer zurückrechenbares Passwort und kann auch das echte Passwort sein.

Die Passwörter werden idealerweise während der Erzeugung des Sugarwords erzeugt und dann in zufälliger Reihenfolge abgelegt. Hier sehen Juels und Rivest allerdings auch eine Schwachstelle. Der Algorithmus zur Erzeugung der Honeywords sollte so gut sein, dass ein Angreifer nicht durch eine Analyse herausfinden kann, wie diese generiert werden. Die gestohlene Datenbank könnte sonst von den Honeywords bereinigt werden.

Diebe erlangen Kenntnis über Salt- und Hash-Parameter 

eye home zur Startseite
posix 20. Mai 2013

Nein es liegt nichts im Klartext vor, du hast dich nie mit diesem Programm eingehend...

me2 09. Mai 2013

Jein. Eine Benutzer-Passwort-Kombination kann mehr wert sein, als nur eine...

a user 08. Mai 2013

jain. die definition eines hashes ist natürlich, dass er einfach für eine eingabe zu...

a user 08. Mai 2013

nein, würde es nicht. 1. "random" darf das nicht sein, sonst können bei der...

Endwickler 08. Mai 2013

Ja, der Titel kam mir auch so in den Sinn. Das erste mal, dass ich so etwas implementiert...



Anzeige

Stellenmarkt
  1. Der Polizeipräsident in Berlin, Berlin
  2. Dynamic Engineering GmbH, München
  3. Kassenzahnärztliche Vereinigung Bayerns, München
  4. ENERTRAG Aktiengesellschaft, Berlin


Anzeige
Spiele-Angebote
  1. (-75%) 2,49€
  2. 34,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Kritische Bereiche der IT-Sicherheit in Unternehmen
  2. Mit digitalen Workflows Geschäftsprozesse agiler machen
  3. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Netzwerk

    EWE reduziert FTTH auf 40 MBit/s im Upload

  2. Rahmenvertrag

    VG Wort will mit Unis neue Zwischenlösung für 2017 finden

  3. Industriespionage

    Wie Thyssenkrupp seine Angreifer fand

  4. Kein Internet

    Nach Windows-Update weltweit Computer offline

  5. Display Core

    Kernel-Community lehnt AMDs Linux-Treiber weiter ab

  6. Test

    Mobiles Internet hat viele Funklöcher in Deutschland

  7. Kicking the Dancing Queen

    Amazon bringt Songtexte-Funktion nach Deutschland

  8. Nachruf

    Astronaut John Glenn im Alter von 95 Jahren gestorben

  9. Künstliche Intelligenz

    Go Weltmeisterschaft mit Menschen und KI

  10. Redox OS

    Wer nicht rustet, rostet



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Großbatterien: Sechs 15-Megawatt-Anlagen sollen deutsches Stromnetz sichern
Großbatterien
Sechs 15-Megawatt-Anlagen sollen deutsches Stromnetz sichern
  1. HPE Hikari Dieser Supercomputer wird von Solarenergie versorgt
  2. Tesla Desperate Housewives erzeugen Strom mit Solarschindeln
  3. Solar Roadways Erste Solarzellen auf der Straße verlegt

Google, Apple und Mailaccounts: Zwei-Faktor-Authentifizierung richtig nutzen
Google, Apple und Mailaccounts
Zwei-Faktor-Authentifizierung richtig nutzen
  1. Bugs in Encase Mit dem Forensik-Tool die Polizei hacken
  2. Red Star OS Sicherheitslücke in Nordkoreas Staats-Linux
  3. 0-Day Tor und Firefox patchen ausgenutzten Javascript-Exploit

Steep im Test: Frei und einsam beim Bergsport
Steep im Test
Frei und einsam beim Bergsport
  1. PES 2017 Update mit Stadion und Hymnen von Borussia Dortmund
  2. Motorsport Manager im Kurztest Neustart für Sportmanager
  3. NBA 2K17 10.000 Schritte für Ingame-Boost

  1. Viel zu späte Einsicht und trotzdem keine Lösung

    Hatuja | 18:20

  2. Re: Dünne Schicht auf einer normalen Brille...

    Zuryan | 18:19

  3. Re: omfgwtfrly?

    ckerazor | 18:17

  4. Re: Im Worst-Case werden also permanent 7,3 GB an...

    Jesper | 18:17

  5. Re: GIMP

    ArcherV | 18:17


  1. 17:30

  2. 17:13

  3. 16:03

  4. 15:54

  5. 15:42

  6. 14:19

  7. 13:48

  8. 13:37


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel