Abo
  • Services:

Diebe erlangen Kenntnis über Salt- und Hash-Parameter

Für das Szenario wird zudem davon ausgegangen, dass nicht nur die Passwortdatei verschwindet, sondern auch die Hash- und Salt-Parameter mitgenommen werden. Der Honeychecker prüft nun über eine Kommunikation mit dem eigentlichen Authentifizierungsserver, ob ein Honeyword benutzt wurde. Ist das der Fall, schlägt das System Alarm.

Der Honeychecker kennt keine Passwörter

Stellenmarkt
  1. tecmata GmbH, Wiesbaden
  2. Robert Bosch GmbH, Renningen

Der Honeychecker selbst kennt weder die Passwörter noch die Honeywords. Er kennt nur die Datenbankposition des echten Passworts. Die Kommunikation zwischen dem Honeychecker und dem eigentlichen System ist daher einfach. Der Honeychecker gibt sein Okay oder verweigert es bei einem Honeyword. Er muss aber nicht so agieren. Denkbar ist, dass der Honeychecker auch ein Honeyword erlaubt und stattdessen einen stillen Alarm zum Administrator schickt und das Aufzeichnen der Logs bei dem Nutzer eines Honeywords erweitert, um so den Angreifer und dessen Methoden besser aufzuspüren. Die Forscher sehen in dem Honeychecker durchaus eine zusätzliche Schwachstelle, die besonders abgesichert werden muss, damit auch Angriffe auf die Infrastruktur hinter der eigentlichen Authentifizierung unwahrscheinlich werden. Es ist aber in jedem Fall ein zusätzlicher Schutz, den ein Angreifer erst einmal überwinden muss.

Die beiden Forscher sind sicher, dass der Honeyword-Ansatz leicht in Systeme zu integrieren ist und die Sicherheit massiv erhöht. Mit dem Risiko einer Entdeckung konfrontiert, würde sich zudem ein Angriff über Datenbanken nicht mehr so sehr lohnen. Kriminelle müssten also andere Wege finden, um an das Passwort eines Nutzers heranzukommen.

Bei einem Angriff kann es natürlich vorkommen, dass der Angreifer nicht eines der Honeywords, sondern das echte Passwort benutzt. Das ist eine Frage der Wahrscheinlichkeit und spricht für eine große Anzahl von Honeywords. Das soll auch keine Probleme für den Speicherbedarf darstellen, da es häufig üblich ist, mehrere Hashes zu speichern, damit der Nutzer bei einem Passwortwechsel nicht einfach ein älteres wiederverwendet. Dem Research Paper zufolge sollten Serverbetreiber diese älteren Passwortdaten jedoch keinesfalls speichern. Auch wenn Speicherplatz so günstig ist, dass eine größere Passwortdatenbank vor allem im Vergleich zu Nutzerdaten keine große Rolle spielt.

Zunehmende Angriffe werden ein Problem für alle Nutzer im Internet

Die Forscher empfehlen die Implementierung der Methode vor allem wegen der gestiegenen Zahl der Angriffe auf Passwortdatenbanken. Selbst große Dienste wie Evernote mit seinen 50 Millionen Nutzern hat es schon erwischt. Durch die große Anzahl von Hacks sind viele Anwender betroffen, und deren Passwörter sind damit in Passwortlisten gespeichert. Sollte ein Anwender dieses Passwort noch in anderen Diensten verwenden, ist er leicht hackbar.

Das Research Paper geht noch etwas über die reine Honeyword-Methode hinaus und gibt weitere Vorschläge zur Passwortverbesserung und damit auch einer Erhöhung der Sicherheit. Das Papier selbst ist laut den Forschern nur der Anfang für eine grundlegende Verbesserung der Sicherheit in Passwortinfrastrukturen.

 RSA-Entwickler: Mit Honeywords gegen Passwortklau
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. 299€ + 4,99€ Versand oder Abholung im Markt
  2. (heute u. a. Far Cry 5 für 44,99€, Wolfenstein II für 24,99€ und Mittelerde: Mordors Schatten...
  3. 0,00€
  4. ab 1.119€ (Ersparnis: 310€)

posix 20. Mai 2013

Nein es liegt nichts im Klartext vor, du hast dich nie mit diesem Programm eingehend...

me2 09. Mai 2013

Jein. Eine Benutzer-Passwort-Kombination kann mehr wert sein, als nur eine...

a user 08. Mai 2013

jain. die definition eines hashes ist natürlich, dass er einfach für eine eingabe zu...

a user 08. Mai 2013

nein, würde es nicht. 1. "random" darf das nicht sein, sonst können bei der...

Endwickler 08. Mai 2013

Ja, der Titel kam mir auch so in den Sinn. Das erste mal, dass ich so etwas implementiert...


Folgen Sie uns
       


Microsoft Intellimouse Classic - Fazit

Die Intellimouse ist zurück. Das beliebte, neutrale Design der Explorer 3.0 von 2004 ist nach langer Abstinenz wieder käuflich und deutlich verbessert - jedenfalls in den meisten Disziplinen.

Microsoft Intellimouse Classic - Fazit Video aufrufen
Datenverkauf bei Kommunen: Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen
Datenverkauf bei Kommunen
Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen

Der Städte- und Gemeindebund hat vorgeschlagen, Kommunen sollten ihre Daten verkaufen. Wie man es auch dreht und wendet: Es bleibt eine schlechte Idee.
Ein IMHO von Michael Peters und Walter Palmetshofer

  1. Gerichtsurteil Kein Recht auf anonyme IFG-Anfrage in Rheinland-Pfalz
  2. CDLA Linux Foundation veröffentlicht Open-Data-Lizenzen
  3. Deutscher Wetterdienst Wetterdaten sind jetzt Open Data

Dell XPS 13 (9370) im Test: Sehr gut ist nicht besser
Dell XPS 13 (9370) im Test
Sehr gut ist nicht besser

Mit dem XPS 13 (9370) hat Dell sein bisher exzellentes Ultrabook in nahezu allen Bereichen überarbeitet - und es teilweise verschlechtert. Der Akku etwa ist kleiner, das spiegelnde Display nervt. Dafür überzeugen die USB-C-Ports, die Kühlung sowie die Tastatur, und die Webcam wurde sinnvoller.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Ultrabook Dell hat das XPS 13 ruiniert
  2. XPS 13 (9370) Dells Ultrabook wird dünner und läuft kürzer
  3. Ultrabook Dell aktualisiert XPS 13 mit Quadcore-Chip

HTC Vive Pro im Test: Das beste VR-Headset ist nicht der beste Kauf
HTC Vive Pro im Test
Das beste VR-Headset ist nicht der beste Kauf

Höhere Auflösung, integrierter Kopfhörer und ein sehr bequemer Kopfbügel: Das HTC Vive Pro macht alles besser und gilt für uns als das beste VR-Headset, das wir bisher ausprobiert haben. Allerdings ist der Preis dafür so hoch, dass kaufen meist keine clevere Entscheidung ist.
Ein Test von Oliver Nickel

  1. VR-Headset HTCs Vive Pro kostet 880 Euro
  2. HTC Vive Pro ausprobiert VR-Headset hat mehr Pixel und Komfort
  3. Vive Focus HTC stellt autarkes VR-Headset vor

    •  /