'ŞEkerleme' kullanımı şifre kırıcılarını açığa çıkarır

Giderek daha fazla sayıda tüketicinin parolalarının günlük olarak ele geçirilmesiyle birlikte, bir çift araştırmacı, dijital kimlik bilgisi olan krakerlere yardım edeceğine inandıkları bir fikirden kaçıyorlar.

Bir web sitesinin şifre veritabanını birçok yanlış şifreyle tuzlamayı önerdiler. parola veritabanlarında parolalar genellikle “hashed” veya gizliliklerini korumak için şifreli.

“Karma şifrelerin bir dosyasını çalan ve karma işlevini tersine çeviren bir kişi, parolayı veya bir şifreyi bulup bulmadığını söyleyemez. RSA Labs ve MIT Profesör Ronald L. Rivest'den Ari Juels, “Tatlılar: Geçtiğimiz hafta piyasaya sürülen Şifre-çatlama Tespit Edilebilir Hale Getirmek” başlıklı bir makale yazdı.

[Ekstra okuma: Rüzgarınızdaki kötü amaçlı yazılım nasıl kaldırılır? ows PC]

“Giriş için bir şifrenin girişimi, bir alarmı kapatır” diye ekledi.

Nasıl çalışırdı

Honeywords'le tuzlanmış bir parola veritabanı, ayrıcalıklı bir şekilde ayrılan bir sunucuya takılırdı geçerli şifreler ve anahtar kelimeler arasında. Bir hesaba giriş yapmak için kullanılan bir bal peteği tespit ettiğinde, bu durum, hesabın kilitlenmesini sağlayabilecek bir site yöneticisini uyaracaktır.

Balığın kullanılması korsanların web sitenizi ihlal etmesini ve şifrelerinizi çalmasını engellemez. Web sitesinin operatörlerine bir ihlal meydana gelebileceği konusunda uyarıda bulunacaklar.

“Bu çok değerli,” diyor Rapid7 güvenlik mühendisliği üst düzey yöneticisi Ross Barrett, özellikle de bunların çoğunu ortaya çıkarmak için ne kadar sürdüğünü anlatıyor. [

] “Bir uzlaşmanın tespiti için ortalama süre altı aydır,” dedi ve “geçen sene arttı.”

Bununla birlikte, hackerlar bir sitenin balıp kullandığını biliyorsa ve hesaplar otomatik olarak kilitlenirse Bir bal peteği kullanıldığında, bal kalıpları aslında sahada bir hizmet reddi saldırısı oluşturmak için kullanılabilir.

Şema ayrıca saldırganlara başka bir potansiyel hedefe de yol açıyor: balinacı. Kontrolör ile web sitesi sunucusu arasındaki iletişim kesintiye uğrarsa, web sitesi çökebilir.

Honeychecker tehlikeye atılsa bile, bir web sitesi operatörü balığa sahip olmaktan daha iyi durumdadır.

“Bilgisayar korsanlarının websitelerine bir balina avcısı olmasalar bile girmekten çok daha zordu,” dedi.

Juels and Rivest, kağıtlarında baldırının bilgisayardan ayrılmasını tavsiye ediyor Bir web sitesi çalıştıran sistemler.

“İki sistem farklı yönetim alanlarına yerleştirilebilir, farklı işletim sistemleri çalıştırabilir, vb.” diye yazdılar.

Balinacı da doğrudan arayüz oluşturmayacak şekilde tasarlanabilir. Bir saldırganın onu kırma yeteneğini de azaltacak olan İnternet ile birlikte, kaydetti.

Toplam düzeltme değil

Korsanların kullanımı, bilgisayar korsanlarının şifre veritabanlarını çalmalarını ve sırlarını çözmelerini engellemeyecektir, Juels ve Rivest kabul et.

MIT Profesör Ronal d L. Rivest

“Bununla birlikte,” kâğıtlarına eklediler, “balığın kullanıldığı zamanki büyük fark, başarılı bir kaba kuvvet pahasına başarılı bir şekilde giriş yapabildiği ve algılanamayacağına dair güven duygusu vermemesidir.”

“Bir balçığın kullanımı” diyor yazar, “bu yüzden ya bir risk ile giriş yapmanın riskini arttırmak için büyük olasılıkla parola karmaşasından taviz vermenin büyük bir şansı var… ya da balina avcısını tehlikeye atmaya teşebbüs etmek gibi. iyi. ”

Araştırmacılar, net bir şekilde kullanıcı adının şifrelenmesiyle ilgili bilinen sorunlardan birçoğunu içerdiği için, genel olarak şifreler ve genel olarak“ bildiğiniz bir şey ”kimlik doğrulaması içerdiğinden, paftaların net bir şekilde kullanıcı kimlik doğrulaması için tam bir çözüm olmadığını kabul ediyorlar.

“ Sonunda, “yazdılar,“ parolalar daha güçlü ve daha uygun kimlik doğrulama yöntemleri ile desteklenmeli… ya da daha iyi kimlik doğrulama yöntemlerine tamamen yer verilmelidir. ”