El uso de 'honeywords' puede exponer crackers de contraseñas

Con más y más consumidores con sus contraseñas comprometidas a diario, un par de investigadores están flotando una idea que sostienen ayudará a frustrar las credenciales de credenciales digitales.

Proponen salarizar la base de datos de contraseñas de un sitio web con muchas contraseñas falsas Las contraseñas en las bases de datos de contraseñas suelen ser "hash" o codificadas para proteger su secreto.

"Un adversario que roba un archivo de contraseñas hash e invierte la función hash no puede decir si ha encontrado la contraseña o una contraseña, "Ari Juels de RSA Labs y MIT Professor Ronald L. Rivest escribió en un documento titulado Honeywords: Making Password-cracking Detectable que fue lanzado la semana pasada.

[Lectura adicional: Cómo eliminar el malware de su Wind ows PC]

"El intento de utilizar una honeyword para iniciar sesión dispara una alarma", agregaron.

Cómo funcionaría

Una base de datos de contraseñas salada con honeywords sería conectada a un servidor dedicado exclusivamente a distinguir entre contraseñas válidas y honeywords. Cuando detecta que se está usando una palabra clave para iniciar sesión en una cuenta, alertará al administrador del sitio del evento, quien puede bloquear la cuenta.

Usar palabras clave no evitará que los piratas informáticos vulneren su sitio web y roben sus contraseñas, pero alertará a los operadores del sitio web de que puede haber ocurrido una infracción.

"Eso es muy valioso", dijo Ross Barrett, gerente senior de ingeniería de seguridad de Rapid7 a PCWorld, especialmente a la luz de cuánto demora descubrir muchos de estos infracciones.

"El tiempo promedio para la detección de un compromiso es de seis meses", dijo, "y eso se incrementó respecto del año pasado".

Sin embargo, si los hackers sabían que un sitio usaba honeywords y las cuentas se bloquean automáticamente cuando se usa una palabra de amor, las palabras de matrimonio podrían usarse para crear un ataque de denegación de servicio en el sitio.

El plan también les da a los atacantes otro objetivo potencial: el testigo de miel. Si se interrumpen las comunicaciones entre el corrector y el servidor del sitio web, el sitio web podría colapsar.

Incluso si el Honeychecker está en peligro, un operador del sitio web está aún mejor con patrañas que sin ellos, argumentó Barrett.

"Probablemente fue mucho más difícil para esos hackers ingresar a su sitio web que si no hubieran tenido un honeychecker", dijo.

Juels y Rivest recomiendan en su trabajo que el honeychecker se separe de la computadora sistemas que ejecutan un sitio web.

"Los dos sistemas se pueden colocar en diferentes dominios administrativos, ejecutar diferentes sistemas operativos, etc.", escribieron.

El honeychecker también se puede diseñar para que no interactúe directamente con Internet, que también reduciría la capacidad de un atacante de hackearlo, observó Barrett.

No es una solución total

El uso de honeywords no evitará que los hackers roben las bases de datos de contraseñas y descifren sus secretos, Juels y Rivest reconocer.

MIT Profesor Ronal d L. Rivest

"Sin embargo," agregan en su artículo, "la gran diferencia cuando se usan palabras de amor es que un corte de contraseña de fuerza bruta exitoso no le da al adversario la confianza de que puede iniciar sesión sin ser detectado".

"El uso de un Honeychecker", dijeron los autores, "obliga al adversario a iniciar sesión con el riesgo de una gran posibilidad de detectar el compromiso del password-hash … o intentar comprometer el honeychecker como bueno. "

Los investigadores admiten que los honeywords no son una solución totalmente satisfactoria para la autenticación de usuarios en la red porque el esquema contiene muchos de los problemas conocidos con contraseñas y autenticación de" algo que usted conoce "en general.

Eventualmente, "escribieron," las contraseñas deberían completarse con métodos de autenticación más sólidos y convenientes … o dar paso a mejores métodos de autenticación por completo ".