Penggunaan 'kata kunci' dapat mengekspos kata sandi cracker

Dengan semakin banyaknya konsumen yang mengkompromikan kata sandinya setiap hari, sepasang peneliti mengapung ide yang mereka anggap akan membantu menggagalkan cracker kredensial digital.

Mereka mengusulkan penggarukan basis data kata sandi situs web dengan banyak kata sandi palsu disebut "kata kunci." Kata sandi dalam basis data kata sandi biasanya "di-hash" atau diacak untuk melindungi kerahasiaan mereka.

"Seorang musuh yang mencuri file kata sandi yang di-hash dan membalikkan fungsi hash tidak dapat mengetahui apakah dia telah menemukan kata sandi atau kata sandi, ”Ari Juels dari RSA Labs dan MIT Professor Ronald L. Rivest menulis dalam makalah berjudul Honeywords: Making Password-cracking Detectable yang dirilis minggu lalu.

[Bacaan lebih lanjut: Bagaimana cara menghapus malware dari Wind Anda berutang PC]

"Penggunaan kata sandi untuk masuk mencoba mematikan alarm," mereka menambahkan.

Cara kerjanya

Database kata sandi yang dialiri dengan kata kunci akan dicolokkan ke server yang didedikasikan khusus untuk membedakan antara kata sandi yang valid dan kata kunci. Ketika mendeteksi kata sandi yang digunakan untuk masuk ke akun, itu akan memperingatkan administrator situs dari acara tersebut, yang dapat mengunci akun.

Menggunakan kata-kata kunci tidak akan mencegah peretas menabrak situs web Anda dan mencuri kata sandi Anda, tetapi itu akan mengingatkan operator dari situs web bahwa pelanggaran mungkin telah terjadi.

"Itu sangat berharga," Ross Barrett, manajer senior teknik keamanan di Rapid7 mengatakan kepada PCWorld-terutama mengingat berapa lama waktu yang dibutuhkan untuk mengungkap banyak dari ini pelanggaran.

"Rata-rata waktu untuk mendeteksi kompromi adalah enam bulan," katanya, "dan itu meningkat dari tahun lalu."

Namun, jika peretas tahu situs menggunakan kata-kata dan akun secara otomatis dikunci ketika sebuah kata madunya digunakan, kata-kata yang tepat bisa digunakan untuk membuat serangan denial-of-service di situs.

Skema ini juga memberi penyerang target potensial lain: honeychecker. Jika komunikasi antara pemeriksa dan server situs web terganggu, situs web bisa macet.

Bahkan jika penghisap madu dikompromikan, operator web-situs masih lebih baik dengan kata-kata madunya daripada tanpa mereka, Barrett berpendapat.

"Mungkin jauh lebih sulit bagi para peretas untuk masuk ke situs web mereka daripada jika mereka tidak memiliki penghisap madu," katanya.

Juels dan Rivest merekomendasikan di kertas mereka bahwa honeychecker dipisahkan dari komputer sistem yang menjalankan situs web.

"Kedua sistem dapat ditempatkan di domain administratif yang berbeda, menjalankan sistem operasi yang berbeda, dan sebagainya," tulis mereka.

Penyaji madu juga dapat dirancang sehingga tidak langsung antarmuka dengan internet, yang juga akan mengurangi kemampuan penyerang untuk meretasnya, Barrett mencatat.

Bukan perbaikan total

Penggunaan kata sandi tidak akan mencegah para peretas untuk mencuri basis data kata sandi dan meretas rahasia mereka, Juels dan Rivest akui.

MIT Profesor Ronal d L. Rivest

"Namun," mereka menambahkan dalam makalah mereka, "perbedaan besar ketika kata-kata kunci yang digunakan adalah bahwa istirahat sandi brute-force yang sukses tidak memberikan keyakinan musuh bahwa ia dapat masuk dengan sukses dan tidak terdeteksi."

"Penggunaan honeychecker," kata para penulis, "dengan demikian memaksa musuh untuk risiko penebangan dengan kemungkinan besar menyebabkan deteksi kompromi hash kata sandi … atau yang lain untuk mencoba mengkompromikan penghisap lebah sebagai baik. "

Para peneliti mengakui bahwa kata-kata madu bukanlah solusi yang sepenuhnya memuaskan untuk otentikasi pengguna di Internet karena skema tersebut mengandung banyak masalah yang diketahui dengan kata sandi dan otentikasi" sesuatu-Anda-tahu "secara umum.

" Akhirnya, "mereka menulis," kata sandi harus dilengkapi dengan metode otentikasi yang lebih kuat dan lebih nyaman … atau memberikan cara untuk metode otentikasi yang lebih baik sepenuhnya. "