Honeywords sollen Passwortdiebe in die Falle locken
Zwei Krypto-Forscher schlagen vor, Datendiebe mit Köder-Passwörtern zu überführen. Loggt sich jemand mit einem der sogenannten Honeywords ein, ist ziemlich sicher etwas faul.
- Ronald Eikenberg
Die beiden Krypto-Forscher Ari Juels und Ronald Rivest (das "R" in RSA) haben ein interessantes Konzept vorgestellt, das dabei helfen soll, einen Einbruch in die Datenbank einer Web-Anwendung zu entdecken. Es beruht darauf, falsche Passwörter als Köder auszulegen und bei deren Einsatz Alarm zu schlagen.
Dabei werden in der Datenbank zu jedem Benutzer – neben dessen eigentlichem Passwort – noch einige sogenannte Honeywords gespeichert. Ein Angreifer, der sich Zugriff auf die Datenbank verschafft, soll diese nicht von dem echten Passwort unterscheiden können; auch die Honeywords werden als gesalzene Hashes gespeichert.
Wenn es dem Angreifer gelingt, die gestohlenen Hashes zu knacken, wird er unter Umständen versuchen, sich damit einzuloggen. Erwischt er dabei eines der Honeywords, weiß die Web-Anwendung, dass etwas faul sein muss – der Account-Inhaber kennt die Köder-Wörter schließlich nicht, das vermeintliche Passwort muss also aus der Datenbank entwendet worden sein. In diesem Fall kann die Anwendungen den betroffenen Account sperren oder stillen Alarm auslösen und den Angreifer auf ein Honeypot-System lenken, auf dem er sich austoben kann.
Freilich geht das Konzept nur auf, wenn die Information darüber, bei welchem der Hashes es sich tatsächlich um das Nutzerpasswort handelt, nicht auf dem gleichen Server gespeichert wird wie die Hashes selbst. Die Forscher sehen deshalb ein sicheres, abgeschottetes System vor, das bei Login-Versuchen über einen verschlüsselten Kanal darüber informiert wird, welche Passwort-Möglichkeit zum Einsatz kam. Dieser sogenannte Honeychecker kennt weder das Passwort noch das Honeyword. Er weiß lediglich, an welcher Position das tatsächliche Passwort bei dem jeweiligen Nutzer in der Datenbank gespeichert ist. (rei)