Abo
  • Services:
Anzeige
Passwortdatenbanken sollen mit Honigwörtern abgesichert werden.
Passwortdatenbanken sollen mit Honigwörtern abgesichert werden. (Bild: David Silverman/Getty Images)

Diebe erlangen Kenntnis über Salt- und Hash-Parameter

Für das Szenario wird zudem davon ausgegangen, dass nicht nur die Passwortdatei verschwindet, sondern auch die Hash- und Salt-Parameter mitgenommen werden. Der Honeychecker prüft nun über eine Kommunikation mit dem eigentlichen Authentifizierungsserver, ob ein Honeyword benutzt wurde. Ist das der Fall, schlägt das System Alarm.

Der Honeychecker kennt keine Passwörter

Der Honeychecker selbst kennt weder die Passwörter noch die Honeywords. Er kennt nur die Datenbankposition des echten Passworts. Die Kommunikation zwischen dem Honeychecker und dem eigentlichen System ist daher einfach. Der Honeychecker gibt sein Okay oder verweigert es bei einem Honeyword. Er muss aber nicht so agieren. Denkbar ist, dass der Honeychecker auch ein Honeyword erlaubt und stattdessen einen stillen Alarm zum Administrator schickt und das Aufzeichnen der Logs bei dem Nutzer eines Honeywords erweitert, um so den Angreifer und dessen Methoden besser aufzuspüren. Die Forscher sehen in dem Honeychecker durchaus eine zusätzliche Schwachstelle, die besonders abgesichert werden muss, damit auch Angriffe auf die Infrastruktur hinter der eigentlichen Authentifizierung unwahrscheinlich werden. Es ist aber in jedem Fall ein zusätzlicher Schutz, den ein Angreifer erst einmal überwinden muss.

Anzeige

Die beiden Forscher sind sicher, dass der Honeyword-Ansatz leicht in Systeme zu integrieren ist und die Sicherheit massiv erhöht. Mit dem Risiko einer Entdeckung konfrontiert, würde sich zudem ein Angriff über Datenbanken nicht mehr so sehr lohnen. Kriminelle müssten also andere Wege finden, um an das Passwort eines Nutzers heranzukommen.

Bei einem Angriff kann es natürlich vorkommen, dass der Angreifer nicht eines der Honeywords, sondern das echte Passwort benutzt. Das ist eine Frage der Wahrscheinlichkeit und spricht für eine große Anzahl von Honeywords. Das soll auch keine Probleme für den Speicherbedarf darstellen, da es häufig üblich ist, mehrere Hashes zu speichern, damit der Nutzer bei einem Passwortwechsel nicht einfach ein älteres wiederverwendet. Dem Research Paper zufolge sollten Serverbetreiber diese älteren Passwortdaten jedoch keinesfalls speichern. Auch wenn Speicherplatz so günstig ist, dass eine größere Passwortdatenbank vor allem im Vergleich zu Nutzerdaten keine große Rolle spielt.

Zunehmende Angriffe werden ein Problem für alle Nutzer im Internet

Die Forscher empfehlen die Implementierung der Methode vor allem wegen der gestiegenen Zahl der Angriffe auf Passwortdatenbanken. Selbst große Dienste wie Evernote mit seinen 50 Millionen Nutzern hat es schon erwischt. Durch die große Anzahl von Hacks sind viele Anwender betroffen, und deren Passwörter sind damit in Passwortlisten gespeichert. Sollte ein Anwender dieses Passwort noch in anderen Diensten verwenden, ist er leicht hackbar.

Das Research Paper geht noch etwas über die reine Honeyword-Methode hinaus und gibt weitere Vorschläge zur Passwortverbesserung und damit auch einer Erhöhung der Sicherheit. Das Papier selbst ist laut den Forschern nur der Anfang für eine grundlegende Verbesserung der Sicherheit in Passwortinfrastrukturen.

 RSA-Entwickler: Mit Honeywords gegen Passwortklau

eye home zur Startseite
posix 20. Mai 2013

Nein es liegt nichts im Klartext vor, du hast dich nie mit diesem Programm eingehend...

me2 09. Mai 2013

Jein. Eine Benutzer-Passwort-Kombination kann mehr wert sein, als nur eine...

a user 08. Mai 2013

jain. die definition eines hashes ist natürlich, dass er einfach für eine eingabe zu...

a user 08. Mai 2013

nein, würde es nicht. 1. "random" darf das nicht sein, sonst können bei der...

Endwickler 08. Mai 2013

Ja, der Titel kam mir auch so in den Sinn. Das erste mal, dass ich so etwas implementiert...



Anzeige

Stellenmarkt
  1. GILDEMEISTER Beteiligungen GmbH, Bielefeld
  2. Robert Bosch GmbH, Schwieberdingen
  3. PHOENIX CONTACT GmbH & Co. KG, Blomberg
  4. Bechtle Onsite Services GmbH, Neckarsulm


Anzeige
Hardware-Angebote
  1. 89,90€ + 3,99€ Versand (Vergleichspreis ca. 140€)
  2. (reduzierte Überstände, Restposten & Co.)
  3. und Destiny 2 gratis erhalten

Folgen Sie uns
       


  1. Fraunhofer Fokus

    Metaminer soll datensammelnde Apps aufdecken

  2. Onlinehandel

    Bundesgerichtshof greift Paypal-Käuferschutz an

  3. Verbraucherschutz

    Sportuhr-Hersteller gehen unsportlich mit Daten um

  4. Core-i-Prozessoren

    Intel bestätigt gravierende Sicherheitsprobleme in ME

  5. Augmented Reality

    Apple kauft Vrvana für 30 Millionen US-Dollar

  6. Lootboxen

    "Battlefront 2 ist ein Star-Wars-Onlinecasino für Kids"

  7. Stadtnetzbetreiber

    Von 55 Tiefbauunternehmen hat keines geantwortet

  8. Steuerstreit

    Irland fordert Milliardenzahlung von Apple ein

  9. Zensur

    Skype ist in chinesischen Appstores blockiert

  10. Eizo Flexscan EV2785

    Neuer USB-C-Monitor mit 4K und mehr Watt für Notebooks



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Orbital Sciences: Vom Aufstieg und Niedergang eines Raketenbauers
Orbital Sciences
Vom Aufstieg und Niedergang eines Raketenbauers
  1. Arkyd-6 Planetary Resources startet bald ein neues Weltraumteleskop
  2. Astronomie Erster interstellarer Komet entdeckt
  3. Nasa und Roskosmos Gemeinsam stolpern sie zum Mond

Coffee Lake vs. Ryzen: Was CPU-Multitasking mit Spielen macht
Coffee Lake vs. Ryzen
Was CPU-Multitasking mit Spielen macht
  1. Custom Foundry Intel will 10-nm-Smartphone-SoCs ab 2018 produzieren
  2. ARM-Prozessoren Macom verkauft Applied Micro
  3. Apple A11 Bionic KI-Hardware ist so groß wie mehrere CPU-Kerne

Smartphone-Kameras im Test: Die beste Kamera ist die, die man dabeihat
Smartphone-Kameras im Test
Die beste Kamera ist die, die man dabeihat
  1. Honor 7X Smartphone im 2:1-Format mit verbesserter Dual-Kamera
  2. Mini-Smartphone Jelly im Test Winzig, gewöhnungsbedürftig, nutzbar
  3. Leia RED verrät Details zum Holo-Display seines Smartphones

  1. Re: Sollen sie halt ihre eigenen Tiefbaufirmen...

    narea | 17:52

  2. Re: Hallo aus dem 1G-Land

    neocron | 17:51

  3. Re: Mehr als 640 Kilobyte Speicher braucht kein...

    sneaker | 17:50

  4. Re: Witzig. Wieder ein E-Auto bericht von Leuten...

    Azzuro | 17:49

  5. Re: Wieso Bad Staffelstein in Franken?

    sneaker | 17:49


  1. 17:45

  2. 17:20

  3. 17:06

  4. 16:21

  5. 15:51

  6. 15:29

  7. 14:59

  8. 14:11


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel