การใช้ "Honeywords" อาจทำให้รหัสผ่านแตกได้ ผู้บริโภคจำนวนมากที่มีรหัสผ่านถูกบุกรุกในแต่ละวันคู่ของนักวิจัยกำลังลอยลำแนวคิดที่ว่าพวกเขาโต้แย้งจะช่วยลดความยุ่งยากในการใช้ cracker ข้อมูลรับรองดิจิทัลได้

"ศัตรูที่ขโมยไฟล์ hashed passwords และ inverts ฟังก์ชัน hash จะไม่สามารถบอกได้ว่าเขาได้พบรหัสผ่านหรือ honeyword แล้วหรือยัง, "Ari Juels จาก RSA Labs และ MIT Professor Ronald L. Rivest เขียนไว้ในบทความเรื่อง Honeywords: การค้นพบรหัสผ่านที่แตกออกเป็นชิ้น ๆ ได้รับการปล่อยตัวเมื่อสัปดาห์ที่แล้ว

[อ่านเพิ่มเติม: วิธีลบมัลแวร์จากลมของคุณ "การใช้ honeyword ในการเข้าสู่ระบบทำให้เกิดสัญญาณเตือน" พวกเขากล่าวเสริม

จะทำงานอย่างไร

ฐานข้อมูลรหัสผ่านที่เค็มกับ honeywords จะถูกเสียบเข้ากับเซิร์ฟเวอร์ที่ทุ่มเทให้กับการแยกแยะความแตกต่าง ระหว่างรหัสผ่านที่ถูกต้องและ honeywords เมื่อตรวจพบ honeyword ที่ใช้ในการเข้าสู่ระบบบัญชีจะแจ้งเตือนผู้ดูแลไซต์ว่าใครสามารถล็อกบัญชีได้

การใช้ honeywords จะไม่ป้องกันแฮกเกอร์ละเมิดเว็บไซต์ของคุณและขโมยรหัสผ่านของคุณ แต่ Ross Barrett, ผู้จัดการอาวุโสฝ่ายวิศวกรรมความปลอดภัยของ Rapid7 กล่าวกับ PCWorld โดยเฉพาะอย่างยิ่งเมื่อพิจารณาจากระยะเวลาในการค้นพบสิ่งเหล่านี้เป็นจำนวนมาก "เวลาเฉลี่ยในการตรวจจับการประนีประนอมคือหกเดือน" เขากล่าว "และนั่นก็เพิ่มขึ้นจากปีที่แล้ว"

อย่างไรก็ตามหากแฮกเกอร์รู้ว่าไซต์ใช้ honeywords และบัญชีถูกล็อคโดยอัตโนมัติ เมื่อมีการใช้ honeyword honeywords สามารถใช้เพื่อสร้างการโจมตีแบบปฏิเสธการให้บริการบนไซต์

โครงการนี้ยังช่วยให้ผู้โจมตีเป้าหมายอื่น ๆ: honeychecker ถ้าการสื่อสารระหว่างตัวตรวจสอบกับเซิร์ฟเวอร์เว็บไซต์ถูกรบกวนเว็บไซต์อาจล้มเหลว

แม้ว่า honeychecker จะถูกบุกรุกแม้ว่าผู้ดำเนินการเว็บไซต์ยังดีกว่ากับ honeywords มากกว่าโดยที่ไม่มีพวกเขา Barrett contended

"มันอาจเป็นเรื่องยากสำหรับแฮคเกอร์เหล่านี้ที่จะบุกเข้าไปในเว็บไซต์ของพวกเขามากกว่าที่พวกเขาไม่เคยมี honeychecker" เขากล่าว " Juels and Rivest แนะนำในกระดาษว่าฮันนิคีเซอร์จะถูกแยกออกจากคอมพิวเตอร์ "ระบบทั้งสองสามารถวางไว้ในโดเมนการดูแลระบบที่แตกต่างกันเรียกใช้ระบบปฏิบัติการที่แตกต่างกันและอื่น ๆ "

honeychecker ยังสามารถออกแบบเพื่อไม่ให้อินเตอร์เฟซโดยตรง การใช้ honeywords ไม่ได้เป็นการป้องกันแฮกเกอร์จากการขโมยฐานข้อมูลรหัสผ่านและทำลายความลับของพวกเขา Juels and Rivest การใช้ honeywords ไม่ได้ช่วยป้องกันแฮกเกอร์จากการขโมยฐานข้อมูลรหัสผ่าน รับทราบ

MIT Professor Ronal d "L. Rivest

" อย่างไรก็ตาม "พวกเขาเพิ่มในกระดาษของพวกเขา" ความแตกต่างใหญ่เมื่อมีการใช้ honeywords คือการแบ่งรหัสผ่านที่โหดเหี้ยมที่ประสบความสำเร็จไม่ได้ให้ความมั่นใจว่าศัตรูจะสามารถเข้าสู่ระบบได้สำเร็จและไม่สามารถตรวจพบได้ " "การใช้ honeychecker" ผู้เขียนกล่าวว่า "จึงบังคับให้ฝ่ายตรงข้ามเสี่ยงต่อการเข้าสู่ระบบโดยมีโอกาสมากที่จะทำให้เกิดการตรวจจับการประนีประนอมของรหัสผ่าน hash … หรืออื่น ๆ เพื่อพยายามประนีประนอม honeychecker เป็น นักวิจัยยอมรับว่า honeywords ไม่ใช่ทางออกที่น่าพอใจสำหรับการรับรองความถูกต้องของผู้ใช้บนเน็ตเนื่องจากโครงการมีหลายปัญหาที่ทราบเกี่ยวกับรหัสผ่านและการตรวจสอบแบบ "บางอย่างที่คุณรู้จัก" โดยทั่วไป

ในที่สุด "พวกเขาเขียน" รหัสผ่านควรได้รับการเสริมด้วยวิธีการตรวจสอบที่แข็งแกร่งและสะดวกกว่า … หรือหลีกทางให้วิธีการตรวจสอบที่ดีขึ้นอย่างสมบูรณ์ "