Bem-vindo: Qui, 28 de Novembro 2024, 8:42 Pesquisa avançada

Honeywords: Plano para Enganar Ladrões de Senhas

Secção dedicada a Noticias que não estejam diretamente relacionadas com Software OpenSource! Partilhe aqui notícias sobre Internet, Curiosidades, Guiness, Desporto, Astronomia... resumidamente de tudo! :)

Honeywords: Plano para Enganar Ladrões de Senhas

Mensagempor Claudio Novais » Qua, 8 de Maio 2013, 23:32

Pesquisadores de criptografia Ari Juels e Ronald Rivest, surgiram com uma idéia muito interessante, com a intenção de ajudar na detecção de ataques em bancos de dados de aplicativos web. O plano baseia-se em armazenar senhas falsas como iscas, e assim, soar o alarme quando uma tentativa de ataque for feita, podendo usar uma destas senhas falsas. A idéia envolve armazenar o que eles chamaram de "honeywords" para cada usuário no banco de dados, juntamente com sua senha atual. Um invasor que obteve acesso ao banco de dados não seria capaz de distinguir os honeywords, que também seriam armazenados na forma de salt hashes, a partir da senha real.

Se os atacantes forem capazes de decifrar os hashes roubados, eles podem muito bem usá-los para tentar entrar na aplicação Web associada. Se isso for feito como uma simples tentativa usando um dos honeywords, a aplicação Web saberia que o acesso não foi autorizado - desde que o legítimo proprietário da conta não tenha acesso aos honeywords, qualquer outro honeyword usado poderia ser "desviado". Neste caso, a aplicação pode bloquear a conta ou acionar um alarme silencioso, além de redirecionar o atacante a um sistema de honeypot.

Claro que essa idéia só funcionará enquanto o servidor, onde os hashes são armazenados, também não armazenar informações sobre qual dos hashes seria a senha atual do usuário. Por isso, os pesquisadores propõem a criação de um sistema separado e seguro, onde seria considerado que as senhas foram utilizadas durante as tentativas de login através de um canal criptografado. Lembrando que este "honeychecker", não armazena qualquer informação sobre qualquer senhas ou honeywords.


Referências:



Avatar do usuário
Claudio Novais
Editor do Ubuntued
 
Mensagens: 16869
Registrado em: 25 Maio, 2011

Re: Honeywords: Plano para Enganar Ladrões de Senhas

Mensagempor Rafael Schonberg » Qui, 9 de Maio 2013, 3:47

A ideia é genial. E os nomes ficaram cómicos :)
O homem não consegue descobrir novos oceanos se não tiver a coragem de perder de vista a costa. — André Gide
Avatar do usuário
Rafael Schonberg
 
Mensagens: 901
Registrado em: 19 Novembro, 2012

Re: Honeywords: Plano para Enganar Ladrões de Senhas

Mensagempor Luis Cardoso » Qui, 9 de Maio 2013, 11:53

Acho que qualquer dia temos PC's com diabetes, com tanto mel... :roll:
ImagemImagem
«Escolhe um trabalho de que gostes, e não terás que trabalhar um só dia na tua vida» - Confúcio
Avatar do usuário
Luis Cardoso
Redator
 
Mensagens: 10455
Registrado em: 26 Maio, 2011
Localização: Portugal



Voltar para Notícias Gerais

Quem está online

Usuários navegando neste fórum: Nenhum usuário registrado e 20 visitantes