"Honey Encryption" soll Passwortmanager schĂĽtzen

Der ehemalige wissenschaftliche Leiter von RSA treibt ein neues VerschlĂĽsselungsverfahren voran, das Angreifer mit falschen Daten verwirren soll.

In Pocket speichern vorlesen Druckansicht 54 Kommentare lesen
Lesezeit: 2 Min.

Wenn es nach dem Sicherheitsforscher Ari Juels geht, setzen IT-Security-Systeme künftig verstärkt auf Täuschmanöver, um Angriffsversuche abzuwehren. Er versucht deshalb derzeit, die sogenannte Honey Encryption zu etablieren, berichtet Technology Review in seiner Online-Ausgabe.

Juels, der vorher Wissenschaftschef bei RSA war, hat das Verfahren zusammen mit mit dem Computerwissenschaftler Thomas Ristenpart von der University of Wisconsin entwickelt. Es schützt Daten durch eine zusätzliche Schicht, die bei jeder fehlerhaften Passworteingabe oder der Nutzung eines eigentlich unpassenden Schlüssels falsche Informationen ausgibt. Noch besser: Sollte der Angreifer irgendwann einmal richtig raten, könnte er die korrekten Daten nur schwer von den Fälschungen unterscheiden.

Der Ansatz könnte insbesondere dann wertvoll sein, wenn große Mengen verschlüsselter Daten in die Hände von Kriminellen fallen, die diese bislang in Ruhe durchprobieren können. So gingen im Oktober zuletzt 150 Millionen Nutzernamen und Passwörter von den Servern des Softwarekonzerns Adobe verloren.

Würde ein Angreifer 10.000 Versuche starten, eine Kreditkarte zu entschlüsseln, würden sie auch 10.000 verschiedene falsche Kreditkartennummern erhalten. "Jede Entschlüsselung sieht plausibel aus", sagt Juels. "Der Angreifer hat keine Möglichkeit, fallweise zu unterscheiden, was korrekt ist und was nicht." Juels arbeitete zuvor zusammen mit RSA-Mitbegründer Ron Rivest an einem System namens "Honey Words". Mit diesem lassen sich Passwortdatenbanken schützen, indem sie zusätzlich mit falschen Passwörtern vollgestopft werden.

Juels will künftig insbesondere Passwortmanager wie LastPass oder Dashlane schützen, die zunehmen attraktive Angriffsziele von Online-Ganoven sind. Auch hier würde jeder Knackversuch fehlerhafte Passwörter ausliefern, die sich nicht von den echten unterscheiden lassen.

Mehr zum Thema in Technology Review online:

(bsc)