• Honeywords: Plano para Enganar Ladrões de Senhas

    Pesquisadores de criptografia Ari Juels e Ronald Rivest, surgiram com uma idéia muito interessante, com a intenção de ajudar na detecção de ataques em bancos de dados de aplicativos web. O plano baseia-se em armazenar senhas falsas como iscas, e assim, soar o alarme quando uma tentativa de ataque for feita, podendo usar uma destas senhas falsas. A idéia envolve armazenar o que eles chamaram de "honeywords" para cada usuário no banco de dados, juntamente com sua senha atual. Um invasor que obteve acesso ao banco de dados não seria capaz de distinguir os honeywords, que também seriam armazenados na forma de salt hashes, a partir da senha real.


    Se os atacantes forem capazes de decifrar os hashes roubados, eles podem muito bem usá-los para tentar entrar na aplicação Web associada. Se isso for feito como uma simples tentativa usando um dos honeywords, a aplicação Web saberia que o acesso não foi autorizado - desde que o legítimo proprietário da conta não tenha acesso aos honeywords, qualquer outro honeyword usado poderia ser "desviado". Neste caso, a aplicação pode bloquear a conta ou acionar um alarme silencioso, além de redirecionar o atacante a um sistema de honeypot.

    Claro que essa idéia só funcionará enquanto o servidor, onde os hashes são armazenados, também não armazenar informações sobre qual dos hashes seria a senha atual do usuário. Por isso, os pesquisadores propõem a criação de um sistema separado e seguro, onde seria considerado que as senhas foram utilizadas durante as tentativas de login através de um canal criptografado. Lembrando que este "honeychecker", não armazena qualquer informação sobre qualquer senhas ou honeywords.


    Saiba Mais:

    [1] Heise On-line http://www.h-online.com/security/new...s-1858488.html

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L