黑客攻防應用：利用密碼檔案檢測攻擊

本文講的是 :   黑客攻防應用：利用密碼檔案檢測攻擊 ,  【IT168 編譯】研究人員認為，通過新增大量假資訊或“蜜碼”到密碼資料庫，他們可以更好地檢測攻擊。當攻擊者入侵企業網路時，他們的第一個目標通常都是密碼檔案。通過竊取密碼檔案，並使用暴力破解技術來破解低強度密碼，攻擊者可以獲取很多合法登入資訊來更輕鬆地攻擊企業網路。

　　美國麻省理工學院的IT密碼學家Ron Rivest(RSA中的“R”)以及RSA實驗室電腦科學家Ari Juels在五月初發表的文章中稱，通過新增假的雜湊或“蜜碼”到密碼檔案，可以幫助檢測上述攻擊。因為攻擊者不知道哪些雜湊值是真的，當他們試圖使用包含假雜湊值的密碼檔案時，他們將可能被檢測到。

　　安全研究人員一直強調應該使用高強度密碼。在去年，LinkedIn丟失了650萬使用者密碼，雅虎的40萬個使用者密碼從其伺服器流失，而LivingSocial對可能已被攻擊者訪問過的7000萬密碼進行了重置。雖然企業會定期加密密碼來防止密碼被攻擊者輕易地獲得，但仍然有很多使用者使用低強度密碼，可能被暴力猜測攻擊所破譯。

　　一些管理員使用簡單密碼設定了假賬戶，來檢測攻擊者是否已經成功破解被盜檔案的密碼。然而，研究人員警告稱，這種方法可能被攻擊者識破，他們可能知道如何確定哪些賬戶是合法的，哪些是假的。

　　研究人員建議，對於每個密碼應該相應產生20個蜜碼，這樣就有超過95%的機會來檢測到攻擊者是否在暴力破解密碼檔案中的密碼。這種檢測通過安全備用伺服器“honeychecker”來執行，攻擊者能夠竊取密碼檔案意味著他們有可能訪問了攻擊計算機上的任何程式。

　　“在計算機系統中，並沒有地方可以安全地儲存額外的祕密資訊，”Rivest和Juels寫道，“而honeychecker是一個單獨的硬化計算機系統，可以儲存上述祕密資訊。”

　　安全顧問Per Thorsheim表示，雖然該建議有可取之處，但也存在一些問題。新增“蜜碼”和傳送登入嘗試結果到第二個伺服器將需要重寫現有的軟體。此外，“蜜碼”的選擇也要反映個人使用者設定密碼的習慣，才可能不被攻擊者識破。然而，使用與使用者密碼類似的密碼也可能會導致更多的誤報。

　　“蜜碼越能夠反映每個使用者的密碼設定習慣，誘使攻擊者進入陷阱的機率就越高，”Thorsheim表示，“從本質上講，你可能被誤報資訊所淹沒，你將需要判斷警報資訊是由輸入錯誤密碼的使用者造成的還是攻擊者造成的。”

原文釋出時間為：2015年7月6日

本文作者：鄒錚

本文來自雲棲社群合作伙伴IT168，瞭解相關資訊可以關注IT1684

原文標題 :黑客攻防應用：利用密碼檔案檢測攻擊