Abo
  • Services:
Anzeige
Passwortdatenbanken sollen mit Honigwörtern abgesichert werden.
Passwortdatenbanken sollen mit Honigwörtern abgesichert werden. (Bild: David Silverman/Getty Images)

Diebe erlangen Kenntnis über Salt- und Hash-Parameter

Für das Szenario wird zudem davon ausgegangen, dass nicht nur die Passwortdatei verschwindet, sondern auch die Hash- und Salt-Parameter mitgenommen werden. Der Honeychecker prüft nun über eine Kommunikation mit dem eigentlichen Authentifizierungsserver, ob ein Honeyword benutzt wurde. Ist das der Fall, schlägt das System Alarm.

Der Honeychecker kennt keine Passwörter

Der Honeychecker selbst kennt weder die Passwörter noch die Honeywords. Er kennt nur die Datenbankposition des echten Passworts. Die Kommunikation zwischen dem Honeychecker und dem eigentlichen System ist daher einfach. Der Honeychecker gibt sein Okay oder verweigert es bei einem Honeyword. Er muss aber nicht so agieren. Denkbar ist, dass der Honeychecker auch ein Honeyword erlaubt und stattdessen einen stillen Alarm zum Administrator schickt und das Aufzeichnen der Logs bei dem Nutzer eines Honeywords erweitert, um so den Angreifer und dessen Methoden besser aufzuspüren. Die Forscher sehen in dem Honeychecker durchaus eine zusätzliche Schwachstelle, die besonders abgesichert werden muss, damit auch Angriffe auf die Infrastruktur hinter der eigentlichen Authentifizierung unwahrscheinlich werden. Es ist aber in jedem Fall ein zusätzlicher Schutz, den ein Angreifer erst einmal überwinden muss.

Anzeige

Die beiden Forscher sind sicher, dass der Honeyword-Ansatz leicht in Systeme zu integrieren ist und die Sicherheit massiv erhöht. Mit dem Risiko einer Entdeckung konfrontiert, würde sich zudem ein Angriff über Datenbanken nicht mehr so sehr lohnen. Kriminelle müssten also andere Wege finden, um an das Passwort eines Nutzers heranzukommen.

Bei einem Angriff kann es natürlich vorkommen, dass der Angreifer nicht eines der Honeywords, sondern das echte Passwort benutzt. Das ist eine Frage der Wahrscheinlichkeit und spricht für eine große Anzahl von Honeywords. Das soll auch keine Probleme für den Speicherbedarf darstellen, da es häufig üblich ist, mehrere Hashes zu speichern, damit der Nutzer bei einem Passwortwechsel nicht einfach ein älteres wiederverwendet. Dem Research Paper zufolge sollten Serverbetreiber diese älteren Passwortdaten jedoch keinesfalls speichern. Auch wenn Speicherplatz so günstig ist, dass eine größere Passwortdatenbank vor allem im Vergleich zu Nutzerdaten keine große Rolle spielt.

Zunehmende Angriffe werden ein Problem für alle Nutzer im Internet

Die Forscher empfehlen die Implementierung der Methode vor allem wegen der gestiegenen Zahl der Angriffe auf Passwortdatenbanken. Selbst große Dienste wie Evernote mit seinen 50 Millionen Nutzern hat es schon erwischt. Durch die große Anzahl von Hacks sind viele Anwender betroffen, und deren Passwörter sind damit in Passwortlisten gespeichert. Sollte ein Anwender dieses Passwort noch in anderen Diensten verwenden, ist er leicht hackbar.

Das Research Paper geht noch etwas über die reine Honeyword-Methode hinaus und gibt weitere Vorschläge zur Passwortverbesserung und damit auch einer Erhöhung der Sicherheit. Das Papier selbst ist laut den Forschern nur der Anfang für eine grundlegende Verbesserung der Sicherheit in Passwortinfrastrukturen.

 RSA-Entwickler: Mit Honeywords gegen Passwortklau

eye home zur Startseite
posix 20. Mai 2013

Nein es liegt nichts im Klartext vor, du hast dich nie mit diesem Programm eingehend...

me2 09. Mai 2013

Jein. Eine Benutzer-Passwort-Kombination kann mehr wert sein, als nur eine...

a user 08. Mai 2013

jain. die definition eines hashes ist natürlich, dass er einfach für eine eingabe zu...

a user 08. Mai 2013

nein, würde es nicht. 1. "random" darf das nicht sein, sonst können bei der...

Endwickler 08. Mai 2013

Ja, der Titel kam mir auch so in den Sinn. Das erste mal, dass ich so etwas implementiert...



Anzeige

Stellenmarkt
  1. ENERTRAG Aktiengesellschaft, Dauerthal, Berlin, Edemissen
  2. CAL Consult GmbH, Nürnberg
  3. operational services GmbH & Co. KG, Nürnberg
  4. Robert Bosch GmbH, Leonberg


Anzeige
Top-Angebote
  1. 139,00€
  2. 485,00€ (Vergleichspreis 529)
  3. 299,00€

Folgen Sie uns
       


  1. Digital Paper DPT-RP1

    Sonys neuer E-Paper-Notizblock wird 700 US-Dollar kosten

  2. USB Typ C Alternate Mode

    Thunderbolt-3-Docks von Belkin und Elgato ab Juni

  3. Sphero Lightning McQueen

    Erst macht es Brummbrumm, dann verdreht es die Augen

  4. VLC, Kodi, Popcorn Time

    Mediaplayer können über Untertitel gehackt werden

  5. Engine

    Unity bekommt 400 Millionen US-Dollar Investorengeld

  6. Neuauflage

    Neues Nokia 3310 soll bei Defekt komplett ersetzt werden

  7. Surface Studio

    Microsofts Grafikerstation kommt nach Deutschland

  8. Polar

    Fitnesstracker A370 mit Tiefschlaf- und Pulsmessung

  9. Schutz

    Amazon rechtfertigt Sperrungen von Marketplace-Händlern

  10. CPU-Architektur

    RISC-V-Patches für Linux erstmals eingereicht



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Google I/O: Google verzückt die Entwickler
Google I/O
Google verzückt die Entwickler
  1. Neue Version im Hands On Android TV bekommt eine vernünftige Kanalübersicht
  2. Play Store Google nimmt sich Apps mit schlechten Bewertungen vor
  3. Daydream Standalone-Headsets auf Preisniveau von Vive und Oculus Rift

Panasonic Lumix GH5 im Test: Die Kamera, auf die wir gewartet haben
Panasonic Lumix GH5 im Test
Die Kamera, auf die wir gewartet haben
  1. Die Woche im Video Scharfes Video, spartanisches Windows, spaßige Switch

Asus B9440 im Test: Leichtes Geschäftsnotebook liefert zu wenig Business
Asus B9440 im Test
Leichtes Geschäftsnotebook liefert zu wenig Business
  1. ROG-Event in Berlin Asus zeigt gekrümmtes 165-Hz-Quantum-Dot-Display und mehr

  1. Re: sehr interessant

    hum4n0id3 | 10:57

  2. Re: Naive Frage: Cloudzwang ?

    Ovaron | 10:57

  3. Re: Gutes Konzept... schrottiges OS, und dann 4000¤

    Seroy | 10:56

  4. Re: "muss für den Einsatz der Razer-Box ... im...

    ms (Golem.de) | 10:51

  5. Re: Für Vermögende die kreativ sein wollen..

    Seroy | 10:49


  1. 10:10

  2. 09:59

  3. 09:00

  4. 18:58

  5. 18:20

  6. 17:59

  7. 17:44

  8. 17:20


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel