网络安全 频道

黑客攻防应用:利用密码文件检测攻击

  【IT168 编译】研究人员认为,通过添加大量假信息或“蜜码”到密码数据库,他们可以更好地检测攻击。当攻击者入侵企业网络时,他们的第一个目标通常都是密码文件。通过窃取密码文件,并使用暴力破解技术来破解低强度密码,攻击者可以获取很多合法登录信息来更轻松地攻击企业网络。

  美国麻省理工学院的IT密码学家Ron Rivest(RSA中的“R”)以及RSA实验室计算机科学家Ari Juels在五月初发表的文章中称,通过添加假的哈希或“蜜码”到密码文件,可以帮助检测上述攻击。因为攻击者不知道哪些哈希值是真的,当他们试图使用包含假哈希值的密码文件时,他们将可能被检测到。

  安全研究人员一直强调应该使用高强度密码。在去年,LinkedIn丢失了650万用户密码,雅虎的40万个用户密码从其服务器流失,而LivingSocial对可能已被攻击者访问过的7000万密码进行了重置。虽然企业会定期加密密码来防止密码被攻击者轻易地获得,但仍然有很多用户使用低强度密码,可能被暴力猜测攻击所破译。

  一些管理员使用简单密码设置了假账户,来检测攻击者是否已经成功破解被盗文件的密码。然而,研究人员警告称,这种方法可能被攻击者识破,他们可能知道如何确定哪些账户是合法的,哪些是假的。

  研究人员建议,对于每个密码应该相应产生20个蜜码,这样就有超过95%的机会来检测到攻击者是否在暴力破解密码文件中的密码。这种检测通过安全备用服务器“honeychecker”来执行,攻击者能够窃取密码文件意味着他们有可能访问了攻击计算机上的任何程序。

  “在计算机系统中,并没有地方可以安全地保存额外的秘密信息,”Rivest和Juels写道,“而honeychecker是一个单独的硬化计算机系统,可以存储上述秘密信息。”

  安全顾问Per Thorsheim表示,虽然该建议有可取之处,但也存在一些问题。添加“蜜码”和发送登录尝试结果到第二个服务器将需要重写现有的软件。此外,“蜜码”的选择也要反映个人用户设置密码的习惯,才可能不被攻击者识破。然而,使用与用户密码类似的密码也可能会导致更多的误报。

  “蜜码越能够反映每个用户的密码设置习惯,诱使攻击者进入陷阱的几率就越高,”Thorsheim表示,“从本质上讲,你可能被误报信息所淹没,你将需要判断警报信息是由输入错误密码的用户造成的还是攻击者造成的。”

0
相关文章