Honeywords beskytter passwordlister

Artiklen blev oprindeligt publiceret den 8/5/2013

Forskere har opfundet en ny metode til at afsløre forsøg på at logge ind med stjålne passwords.

Metoden kaldes honeywords. Formålet er at gøre det sværere for hackere at udnytte stjålne lister over passwords.

Når man har en liste over passwords, der er beskyttet via en hashfunktion, kan man sætte en computer til at afprøve en række velkendte passwords ved at køre dem gennem samme hashfunktion. På den måde kan man finde frem til passwords på listen.

Med honeywords opbevares flere hashede udgaver af forskellige passwords til hver brugerkonto. Hackeren vil ud fra den stjålne liste kunne se, at der er flere passwords pr. konto, men han kan ikke vide, hvilket der er det rigtige.

Hvis hackeren prøver at logge ind med et honeyword i stedet for det korrekte password til den pågældende brugerkonto, slår en funktion alarm. På den måde kan administratoren opdage forsøg på misbrug.

Honeywords er beskrevet i en videnskabelig artikel af Ari Juels og Ronald L. Rivest. Metoden er endnu ikke implementeret i et system til brugerstyring.

Links

• Amid a barrage of password breaches, “honeywords” to the rescue, artikel fra Ars Technica
• Honeywords: Making Password-Cracking Detectable (PDF-format)