패스워드 크래커를 노출시킬 수있는 '꿀벌'사용

점점 더 많은 소비자들이 매일 암호가 손상되면서 한 쌍의 연구원이 디지털 자격 증명 크래커에 도움이되는 아이디어를 떠안고 있습니다.

그들은 허위 암호가 많은 웹 사이트의 암호 데이터베이스를 소금으로 처리 할 것을 제안합니다. 암호 데이터베이스에서 암호는 일반적으로 암호를 해독하고 해시 기능을 변환하는 상대방이 암호 또는 허니 워드를 발견했는지 알 수 없습니다 "RSA Labs의 Ari Juels과 Ronald L. Rivest 교수는 지난 주 발표 된 Honeywords: Making Password-cracking Detectable이라는 제목의 논문에서 썼습니다.

[추가 정보: 귀하의 바람으로부터 멀웨어를 제거하는 방법

어떻게 작동 할 것인가

꿀벌을 사용하여 소금에 절인 암호 데이터베이스는 독점적으로 구별되는 서버에 연결된다. 유효한 암호와 허니 워드 사이. 계정에 로그인하는 데 사용되는 허니 워드를 감지하면 사이트 관리자에게 이벤트를 잠그고 계정을 잠글 수 있습니다.

허니 워드를 사용해도 해커가 웹 사이트를 침범하여 암호를 도용하는 것을 막을 수는 없지만 Rapid7의 보안 엔지니어링 책임자 인 Ross Barrett은 PCWorld에 다음과 같이 말했습니다. 특히 이들 중 많은 부분을 발견하는 데 얼마나 오랜 시간이 걸렸는지에 비추어 볼 때, "매우 귀중합니다. "

해커들이 사이트가 꿀벌을 사용하고 있음을 알고 해커 계정이 자동으로 잠겨있는 경우,"침입 탐지의 평균 시간은 6 개월입니다. " 허니 워드가 사용될 때 허니 워드는 사이트에서 서비스 거부 공격을 생성하는 데 실제로 사용될 수 있습니다.

이 계획은 또한 공격자에게 또 다른 잠재적 목표 인 허니 체커를줍니다. 체커와 웹 사이트 서버 간의 통신이 방해되면 웹 사이트가 다운 될 수 있습니다.

하지만 허니 체커가 손상 되더라도 웹 사이트 운영자는 허니 워드를 사용하지 않는 것보다 더 나은 언어를 사용하는 것이 좋습니다.

"해커들이 웹 사이트에 침입하는 것이 허니 체커가없는 것보다 더 어려울 것"이라고 Juels와 Rivest는 자신의 논문에서 허니 체커가 컴퓨터와 분리되어 있다고 권고했다. 시스템은 웹 사이트를 운영하는 시스템입니다. "두 시스템은 서로 다른 관리 도메인에 배치되고 다른 운영 체제 등을 실행할 수 있습니다."

허니 체커는 직접 인터페이스 할 수 없도록 설계 될 수 있습니다 Barrett는 지적했다.

전체적인 수정 사항이 아님

꿀벌을 사용하면 해커가 암호 데이터베이스를 훔쳐내어 비밀을 깨는 것을 막을 수는 없다는 것이 Julet과 Rivest의 주장이다. 인정합니다.

Monal Professor Ronal "그러나 닉네임을 사용할 때 큰 차이는 성공적인 무차별 암호를 사용한다고해서 적법하게 성공적으로 로그인 할 수 있다는 확신을주지 못한다는 것입니다." 저자는 "허니 첵커를 사용하면 암호 해시의 손상을 탐지하는 큰 기회를 가지고 로그인하는 위험에 처하게됩니다. 그렇지 않으면 허니 체커가 다음과 같이 손상 될 수 있습니다. "

닉네임은 패스워드와"알려진 것 "인증과 관련된 많은 알려진 문제를 일반적으로 포함하고 있기 때문에 꿀풀 소리가 인터넷에서 사용자 인증에 대해 완전히 만족할만한 해결책은 아니라고 인정합니다.

결국 암호는보다 강력하고 편리한 인증 방법으로 보완되어야하며 더 나은 인증 방법을 완전히 제공해야합니다. "