Sneaky система безопасности обманывает хакеров с поддельными паролями при взломе

Группа исследователей разработала систему, которая значительно усложняет для хакеров доступ к использованию паролей из просочившейся базы данных, что может помочь тупить ущерб от нарушения данных.

Система описана в исследовательском документе, который был представлен для рассмотрения на Ежегодной конференции приложений компьютерной безопасности 2015 года, которая проходит в Лос-Анджелесе в декабре.

Вызывается ErsatzPasswords, система нацелена на то, чтобы отбросить хакеров, которые используют методы для «взлома» паролей, сказал Мохаммед Х. Альмешека, докторант в Университете Пердью в Индиане.

[Подробнее: Как удалить вредоносное ПО с вашего ПК с Windows]

Хакеры "все равно смогут взломать этот файл, однако пароли, которые будут возвращены, будут поддельные пароли или пароли подделок », - сказал Альмешека.

Пароли обычно шифруются при хранении организациями. Пароли шифруются с использованием алгоритма, и этот вывод называется хешем.

Хэши считаются более безопасными для хранения, чем пароли с открытым текстом. Трудно, но не невозможно, выяснить пароль с открытым текстом из хеша.

Для этого хакеры используют методы грубой силы, которые включают в себя создание списков слов, которые могут быть возможными паролями, и вычисления их хэша посмотрите, найдено ли совпадение. Это длительная и вычислительно-интенсивная работа.

Чтобы сократить это время, хакеры используют такие программы, как John the Ripper, которые могут использовать большие списки паролей из разных нарушений данных, чьи хэши уже рассчитаны. Эти списки увеличиваются с каждым днем, и поскольку многие пользователи не выбирают сложные пароли, это ускоряет работу хакеров.

Когда новый пароль создается для службы в системе Linux, случайное значение, называемое солью, равно добавлен к нему до того, как он зашифрован, и хеш будет сохранен.

ErsatzPasswords добавляет новый шаг. Almesshekah сказал, что до того, как пароль зашифрован, он запускается через аппаратно-зависимую функцию, например, созданную аппаратным модулем безопасности.

Этот шаг добавляет характеристику к паролю, который делает невозможным его точное восстановление простой текст без доступа к модулю, сказал он.

ErsatzPasswords немного контролирует соль, добавленную к паролю, так что то, что выходит из аппаратного модуля безопасности, похоже на пароль, хотя и поддельный, сказал Алмешека .

В результате, если хакер начинает получать совпадения в списке хэшей, все пароли не будут работать. Хакер не знал этого обязательно, пока он или она не попробовали их получить доступ к сервису.

Веб-службы обычно предназначены для отсечения людей после ряда неправильных догадок, хотя ErsatzPasswords можно настроить для предупреждения администратора, когда подделка пароль вводится. Он также может быть настроен на автоматическое создание фальшивой учетной записи, когда вводится поддельный пароль, позволяя администратору видеть, что человек пытается взломать, сказал Альмешека.

Красота находится на стороне сервера, так как требуется только один файл паролей для хранения. «Даже если мы хотим проверить реальный пароль, нам не нужен другой файл», - сказал Альмешека.

Альмешека сказал, что исследователи использовали довольно дешевый модуль аппаратной безопасности от Yubico, названный YubiHSM, который стоит около 500 долларов. Для большого числа пользователей для повышения производительности потребуется более совершенный тип аппаратного модуля безопасности, который может стоить $ 10,00 и выше.

Но настройка ErsatzPasswords на стороне сервера довольно проста, он сказал, и код доступен на GitHub. Он бесплатный и опубликован под лицензией Apache с открытым исходным кодом.

Исследовательский документ был соавтором Кристофера Н. Гутьерреса, Михаила Дж. Аталлы и Евгения Х. Спаффорда, всей группы обеспечения безопасности и безопасности Пердью.