Sử dụng 'mật khẩu' có thể làm lộ mật khẩu crackers

Họ đề xuất một cơ sở dữ liệu mật khẩu của trang web với nhiều mật khẩu giả Mật khẩu trong cơ sở dữ liệu mật khẩu thường được “băm” hoặc tranh giành để bảo vệ bí mật của chúng.

“Một kẻ thù đánh cắp một tập tin mật khẩu băm và đảo ngược hàm băm không thể biết liệu anh ta đã tìm thấy mật khẩu hay mật khẩu "Ari Juels của RSA Labs và MIT Giáo sư Ronald L. Rivest đã viết trong giấy có tiêu đề Mật khẩu: Làm cho mật khẩu nứt có thể phát hiện được phát hành tuần trước.

[Đọc thêm: Làm thế nào để loại bỏ phần mềm độc hại từ gió của bạn ows PC]

"Việc sử dụng mật khẩu để đăng nhập đặt ra một báo động", họ đã thêm vào.

Làm thế nào nó hoạt động

Một cơ sở dữ liệu mật khẩu được mật khẩu bằng mật khẩu sẽ được cắm vào một máy chủ chuyên dụng để phân biệt giữa mật khẩu hợp lệ và mật khẩu. Khi phát hiện mật khẩu được sử dụng để đăng nhập vào tài khoản, mật khẩu sẽ cảnh báo quản trị viên của sự kiện, người có thể khóa tài khoản.

Sử dụng mật khẩu sẽ không ngăn các tin tặc xâm phạm trang web của bạn và ăn cắp mật khẩu của bạn. Ross Barrett, giám đốc cấp cao về kỹ thuật an ninh tại Rapid7 đã nói với PCWorld, đặc biệt là trong bao lâu, nó đã phát hiện ra rất nhiều trong số này. "

" "Thời gian trung bình để phát hiện sự thỏa hiệp là sáu tháng", anh nói, "và nó tăng lên từ năm ngoái."

Tuy nhiên, nếu tin tặc biết một trang web đang sử dụng mật khẩu và tài khoản sẽ tự động bị khóa khi mật khẩu được sử dụng, mật khẩu có thể được sử dụng để tạo ra một cuộc tấn công từ chối dịch vụ trên trang web.

Đề án này cũng cho kẻ tấn công một mục tiêu tiềm năng khác: bộ kiểm tra mật khẩu. Nếu thông tin liên lạc giữa người kiểm tra và máy chủ trang web bị gián đoạn, trang web có thể bị hỏng.

Ngay cả khi người kiểm tra mật khẩu bị tổn hại, một nhà điều hành trang web vẫn tốt hơn với mật khẩu hơn là không có họ, Barrett tranh luận.

"Có lẽ sẽ khó khăn hơn nhiều khi những kẻ tấn công đó đột nhập vào trang web của họ hơn là nếu họ không có mật ong," anh nói.

Juels và Rivest đề xuất trong bài báo rằng mật ong được tách ra khỏi máy tính Các hệ thống chạy một trang web.

"Hai hệ thống có thể được đặt trong các miền quản trị khác nhau, chạy các hệ điều hành khác nhau, vân vân", chúng viết.

Bộ kiểm tra mật mã cũng có thể được thiết kế để nó không giao diện trực tiếp với Internet, điều này cũng sẽ làm giảm khả năng tấn công của nó, Barrett lưu ý.

Không phải sửa chữa hoàn toàn

Sử dụng mật khẩu sẽ không ngăn chặn tin tặc xâm nhập cơ sở dữ liệu mật khẩu và bẻ khóa bí mật của họ.

Giáo sư MIT Ronal d L. Rivest

"Tuy nhiên," họ thêm vào giấy của họ, "sự khác biệt lớn khi mật khẩu được sử dụng là một phá vỡ mật khẩu brute-force thành công không cung cấp cho sự tự tin đối thủ rằng ông có thể đăng nhập thành công và không bị phát hiện."

"Việc sử dụng mật ong," các tác giả nói, "do đó buộc một đối thủ có nguy cơ bị đăng nhập với một cơ hội lớn gây ra việc phát hiện sự thỏa hiệp của mật khẩu băm … hoặc người khác để cố gắng xâm phạm mật khẩu như Các nhà nghiên cứu thừa nhận rằng mật khẩu không phải là một giải pháp hoàn toàn thỏa mãn để xác thực người dùng trên mạng bởi vì lược đồ chứa nhiều vấn đề đã biết với mật khẩu và xác thực "cái gì đó bạn biết" nói chung.

" Cuối cùng, "họ viết," mật khẩu nên được bổ sung với các phương pháp xác thực mạnh mẽ hơn và thuận tiện hơn … hoặc nhường đường cho các phương pháp xác thực tốt hơn hoàn toàn. "