拉菲1娱乐

拉菲1娱乐


科技创新

拉菲1娱乐 > 科技创新 > 在接二连三的密码泄露事件中,救援

在接二连三的密码泄露事件中,救援

日期:2018-06-19 阅读 15

安全专家提出了一种网站更好地保护用于存储用户密码的高度敏感数据库的简单方法:创建虚假的 honeyword passcode,当输入这些密码时,将触发帐户劫持攻击正在进行的警报。

该建议基于已经建立的创建被称为蜜罐帐户的虚拟帐户的实践。在此之际,数十个备受瞩目的网站目睹了用户数据遭到破坏,其中包括生活社交网站、约会网站Zoosk、Evernote、Twitter、LinkedIn和eHarmony,仅举几例。由于这些虚拟帐户不属于服务的合法用户,而且通常不会被访问,因此当攻击者能够登录时,它们可以用来向站点管理员发送警告。新的、互补的蜜词度量方法是由RSA实验室研究员Ari Juels和麻省理工学院密码学教授Ronald Rivest设计的,后者是RSA密码学方案中的 R n。

新措施要求存储密码散列密码的文件为每个帐户包含多个密码,其中只有一个有效。设法破解散列的攻击者将无法知道对应的明文密码对于特定用户是否真实。使用其中一个诱饵密码登录帐户将立即导致 honeychecker -位于单独的、加固的计算机系统上-向管理员发出数据库已被破坏的警报。研究人员写道,

这种方法并不是非常深入,但应该相当有效,因为它会让对手在每次尝试登录时都有被破解获得的密码发现的风险。因此,蜜语可以提供非常有用的防御层。

使用该系统的站点可能会为每个用户存储20个散列密码——只有一个实际上是将用户登录到帐户中。强化监控服务器将检查每个密码是否是真实的一个或一个甜言蜜语。使用假19个蜜词中任何一个的登录尝试将立即被报告。管理员可以通过各种方式对系统进行编程,以响应蜜罐,包括在安全重置之前暂停特定帐户,或者让登录继续进行,但是在“蜜罐系统”上,这是一个陷阱,旨在监控漏洞并防止攻击者访问真实帐户。约翰·霍普金斯大学密码学教授马特·格林告诉Ars说:“

诀窍是让剩下的19个密码看起来和实际密码一样好,所以攻击者有可能破解其中一个密码,就像破解实际密码一样”。

甜言蜜语提议已经引起安全专家的注意,有些专家很快指出了这种系统的副作用。如果不小心实施,攻击者可能会故意将大量用户锁定在其帐户之外。为了限制这种拒绝服务攻击的可能性,研究人员提出了应在蜜语系统中加入的几项措施。

研究人员接着指出一个显而易见的事实,即蜜语系统无法防止暴力和字典攻击。

然而,使用甜言蜜语的最大区别在于,成功的暴力破解密码并不能让对手有信心成功登录而不被发现,他们总结道。因此,使用蜜罐检查器会迫使对手冒登录的风险,从而很有可能导致检测到密码has文件的泄露...或者也试图破坏蜜罐检查器。