08.05.13 06:52 Uhr
 4.113
 

Neue Idee soll Hackern Passwortklau erschweren

Um es Hackern noch schwerer zu machen, geklaute Passwörter für eigene Zwecke zu nutzen, haben zwei Entwickler einen neue Idee. Mit sogenannten Honeywords soll das entwenden deutlich erschwert werden.

Die Idee dahinter ist, dass in einer Datenbank nicht nur das richtige Passwort gespeichert wird, sondern zusätzliche Passwörter. Nur ein Authentifizierungsserver weiß, an welcher Reihenfolge das richtige Passwort steht.

Entwendet ein Hacker nun die Datenbank, weiß dieser nicht welches der Passwörter das richtige ist. Benutzt er das falsche Passwort wird der Zugang direkt gesperrt oder auf eine falsche Webseite weiter geleitet.


Videoplayer auf dieser Seite ausblenden
WebReporter: Schakobb
Rubrik:   High Tech
Schlagworte: Schutz, Idee, Passwort, Honeyword
Quelle: www.golem.de

DAS KÖNNTE DICH AUCH INTERESSIEREN

Amazon Prime fügt HBO und Cinemax zu seinem Streaming-Dienst hinzu
The Last of Us 2 - Fortsetzung des Kult-Spiels kommt
Google: Schadsoftware auf Android-Geräten gefunden

Diese News zu meinen Favoriten hinzufügen Beitrag abgeben

14 User-Kommentare Alle Kommentare öffnen

Kommentar ansehen
08.05.2013 07:42 Uhr von Doloro
 
+10 | -0
 
ANZEIGEN
@Para_shut: Das ist Honig auf dem Bild, weil "Honeywords" in der News vorkommt. Passt natürlich hervorragend :-/
Kommentar ansehen
08.05.2013 09:22 Uhr von rubberduck09
 
+1 | -6
 
ANZEIGEN
Das ist doch nur bei Klartext-Passwörtern möglich.... Menno - wie dumm ist die Menschheit nur!
Kommentar ansehen
08.05.2013 09:26 Uhr von Doloro
 
+3 | -0
 
ANZEIGEN
@rubberduck09: Schon mal was von Hashes und Rainbowtables gehört?
Kommentar ansehen
08.05.2013 09:35 Uhr von rubberduck09
 
+2 | -0
 
ANZEIGEN
@ Doloro
Rainbowtables sind aber bei gut gesalzenen Hashes ziemlich unbrauchbar.
Kommentar ansehen
08.05.2013 10:28 Uhr von Endgegner
 
+2 | -0
 
ANZEIGEN
Dann wird eben der Authentifizierungsserver gehackt...
Kommentar ansehen
08.05.2013 10:35 Uhr von erw
 
+4 | -1
 
ANZEIGEN
Wo ein von Menschen geschriebener Code, da auch ein Mensch, der ihn knacken kann. Da können die noch so kreativ nach Möglichkeiten suchen, das Prinzip ist allgegenwärtig.
Kommentar ansehen
08.05.2013 10:42 Uhr von puri
 
+4 | -1
 
ANZEIGEN
Das System verfehlt schon sein Ziel, weil es jeder Hacker bei mehreren Passwörtern sofort erkennt. Es wird also erstmal kein Hacker auf den Honeypot reinfallen, so daß es in erster Linie mal "security by obscurity" schafft, denn der Hacker weiß nicht welches von den x Passwörtern das richtige ist (solange wie in der Quelle beschrieben die erzeugten Passwörter gegenüber manuell eingegebenen nicht einfach erkannt werden können).

Aber der wichtigste Schwachpunkt ist der Authentifizierungsserver. Dieser muß wissen an welcher Stelle das richtige Passwort für User X steht. Wenn man diesen auch hacken kann, ist das ganze System hinfällig.
Und wenn dieser so sicher ist, dann kann ich doch gleich das richtige Passwort beim Authentifizierungsserver hinterlegen, und mir das Anlegen der Honeywords (auf die eh niemand hereinfällt, s.o.) sparen.

Viel sicherer wäre es, wenn ich beim User statt vieler Honeywords nur ein zufälliges Passwort hinterlege, so daß die Usertabelle aussieht wie eine "normale" Usertabelle.
In Wirklichkeit wird das richtige Passwort aber auf einem anderen Server gespeichert. Beim Einloggen wird geprüft, ob der User das "falsche" Passwort aus der Usertabelle eingegeben hat - dann ist er in den Honeypot getappt. Und falls nicht wird noch über den Authentifizierungsserver überprüft, ob er das richtige Passwort eingegeben hat.
Kommentar ansehen
08.05.2013 11:08 Uhr von schwarzerSchlumpf
 
+0 | -0
 
ANZEIGEN
Mal abgesehen davon, das puri recht hat ist die methode übrigens nicht neu
Kommentar ansehen
08.05.2013 11:13 Uhr von CPSmalls
 
+0 | -0
 
ANZEIGEN
Zutrittskontrollsysteme mit Fingerabdruck oder Augenscannern? ...

Basta!
Kommentar ansehen
08.05.2013 11:39 Uhr von EvilMoe523
 
+0 | -0
 
ANZEIGEN
Hätte da eine bessere Idee...

ich finde auf jeder WebSite oder bei jedem Client wo Account-Daten eingegeben werden, sollte vor der Eingabe ein Feld mit Warnhinweisen aufploppen, welches die größten Nutzerdummheiten zumindest einschränkt.

So Warnungen wie "Das Selbe Passwort 3 Jahre nutzen kann zu Hackerangriffen und Geldnöten führen" oder "Der Name deines Hundes, deiner Oma oder Tochter als Passwort - ist so uncool wie die PinNummer auf der Rückseite deiner EC-Karte"

Hätte da schon das passende Design.. son fettes weißes Feld mit schwarzer Schrift und nem schwarzen Rahmen drum. Komm jetzt grad nicht drauf woran mich das noch erinnert, war halt so eine Eingebung gerade :D
Kommentar ansehen
08.05.2013 12:33 Uhr von schwarzerSchlumpf
 
+0 | -0
 
ANZEIGEN
@CPSmalls

gute idee aber wie willst du dann mal schnell auf deinen webserver zugreifen? da musst du ja ständig erst ins rechenzentrum fahren und da kommst du auch nicht so einfach rein. wenn du jetzt meinst, dass man das auch übers internet machen kann LOL? neue schwachstelle gefunden^^
Kommentar ansehen
08.05.2013 13:04 Uhr von ElkCloner
 
+0 | -1
 
ANZEIGEN
rubberduck09

hat die richtige Antwort bereits gegeben, Passwörter hashen und salzen, wenn diese dann noch gestretcht werden und man statt MD5 SHA512 (HMAC) nutzt, sind die Passwörter nach derzeitigem Stand der Technik sicher. Vorteil: selbst identische Passwörter ergeben völlig andere Hashes, was Kollisionen generell ausschließt.
Kommentar ansehen
08.05.2013 16:38 Uhr von bloody-venom
 
+0 | -0
 
ANZEIGEN
Geben die dann wenigstens bei der Bestandsdatenauskunft auch alle Passwörter raus? und sperren den Zugriff wenn ein falsches benutzt wurde? ;-)
Kommentar ansehen
15.05.2013 06:54 Uhr von Le_Chasseur
 
+0 | -0
 
ANZEIGEN
Super. Und was ist,wenn Sie an den Authentifizierungsserver drankommen?!

Refresh |<-- <-   1-14/14   -> -->|
Diese News zu meinen Favoriten hinzufügen Beitrag abgeben


SCHLIESSEN

Willst Du die Seite wirklich verlassen?


DAS KÖNNTE DICH AUCH INTERESSIEREN

92 Prozent der lebensunfähigen Linksterroristen der Antifa wohnen im Hotel Mama
Kind (7) von türkischen Täter 603 Mal missbraucht
Kulturelle Bereicherung: Den After stilvoll reinigen


...oder unseren und keine aktuellen News mehr verpassen?