• IT-Karriere:
  • Services:

Diebe erlangen Kenntnis über Salt- und Hash-Parameter

Für das Szenario wird zudem davon ausgegangen, dass nicht nur die Passwortdatei verschwindet, sondern auch die Hash- und Salt-Parameter mitgenommen werden. Der Honeychecker prüft nun über eine Kommunikation mit dem eigentlichen Authentifizierungsserver, ob ein Honeyword benutzt wurde. Ist das der Fall, schlägt das System Alarm.

Der Honeychecker kennt keine Passwörter

Stellenmarkt
  1. Diamant Software GmbH, Bielefeld
  2. Elkamet Kunststofftechnik GmbH, Biedenkopf

Der Honeychecker selbst kennt weder die Passwörter noch die Honeywords. Er kennt nur die Datenbankposition des echten Passworts. Die Kommunikation zwischen dem Honeychecker und dem eigentlichen System ist daher einfach. Der Honeychecker gibt sein Okay oder verweigert es bei einem Honeyword. Er muss aber nicht so agieren. Denkbar ist, dass der Honeychecker auch ein Honeyword erlaubt und stattdessen einen stillen Alarm zum Administrator schickt und das Aufzeichnen der Logs bei dem Nutzer eines Honeywords erweitert, um so den Angreifer und dessen Methoden besser aufzuspüren. Die Forscher sehen in dem Honeychecker durchaus eine zusätzliche Schwachstelle, die besonders abgesichert werden muss, damit auch Angriffe auf die Infrastruktur hinter der eigentlichen Authentifizierung unwahrscheinlich werden. Es ist aber in jedem Fall ein zusätzlicher Schutz, den ein Angreifer erst einmal überwinden muss.

Die beiden Forscher sind sicher, dass der Honeyword-Ansatz leicht in Systeme zu integrieren ist und die Sicherheit massiv erhöht. Mit dem Risiko einer Entdeckung konfrontiert, würde sich zudem ein Angriff über Datenbanken nicht mehr so sehr lohnen. Kriminelle müssten also andere Wege finden, um an das Passwort eines Nutzers heranzukommen.

Bei einem Angriff kann es natürlich vorkommen, dass der Angreifer nicht eines der Honeywords, sondern das echte Passwort benutzt. Das ist eine Frage der Wahrscheinlichkeit und spricht für eine große Anzahl von Honeywords. Das soll auch keine Probleme für den Speicherbedarf darstellen, da es häufig üblich ist, mehrere Hashes zu speichern, damit der Nutzer bei einem Passwortwechsel nicht einfach ein älteres wiederverwendet. Dem Research Paper zufolge sollten Serverbetreiber diese älteren Passwortdaten jedoch keinesfalls speichern. Auch wenn Speicherplatz so günstig ist, dass eine größere Passwortdatenbank vor allem im Vergleich zu Nutzerdaten keine große Rolle spielt.

Zunehmende Angriffe werden ein Problem für alle Nutzer im Internet

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Die Forscher empfehlen die Implementierung der Methode vor allem wegen der gestiegenen Zahl der Angriffe auf Passwortdatenbanken. Selbst große Dienste wie Evernote mit seinen 50 Millionen Nutzern hat es schon erwischt. Durch die große Anzahl von Hacks sind viele Anwender betroffen, und deren Passwörter sind damit in Passwortlisten gespeichert. Sollte ein Anwender dieses Passwort noch in anderen Diensten verwenden, ist er leicht hackbar.

Das Research Paper geht noch etwas über die reine Honeyword-Methode hinaus und gibt weitere Vorschläge zur Passwortverbesserung und damit auch einer Erhöhung der Sicherheit. Das Papier selbst ist laut den Forschern nur der Anfang für eine grundlegende Verbesserung der Sicherheit in Passwortinfrastrukturen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 RSA-Entwickler: Mit Honeywords gegen Passwortklau
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. (u. a. LG OLED55CX9LA 120Hz für 1.359€, Samsung Galaxy A51 128GB für 245€)
  2. gratis
  3. (u. a. i-tec Adapterkabel USB-C > HDMI 4K/60Hz 1,5m für 12,99€, i-tec MySafe USB 3.0 Easy...

posix 20. Mai 2013

Nein es liegt nichts im Klartext vor, du hast dich nie mit diesem Programm eingehend...

me2 09. Mai 2013

Jein. Eine Benutzer-Passwort-Kombination kann mehr wert sein, als nur eine...

a user 08. Mai 2013

jain. die definition eines hashes ist natürlich, dass er einfach für eine eingabe zu...

a user 08. Mai 2013

nein, würde es nicht. 1. "random" darf das nicht sein, sonst können bei der...

Endwickler 08. Mai 2013

Ja, der Titel kam mir auch so in den Sinn. Das erste mal, dass ich so etwas implementiert...


Folgen Sie uns
       


Die Tesla-Baustelle von oben 2020-2021

Wir haben den Fortschritt in Grünheide dokumentiert.

Die Tesla-Baustelle von oben 2020-2021 Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /