Hacker-Falle: Wer anderen eine Grube gräbt, ...

Ein neues Konzept von den beiden Krypto-Forschern Ari Juels und Ronald Rivest soll Hackern eine Falle stellen, bei der sie sich selbst als unauthorisierte Nutzer enttarnen. Falsche Passwörter dienen dabei als Köder, bei deren Einsatz das System Alarm schlägt, berichtet Heise.

Honeywords entlarven Passwortdiebe

In der Datenbank einer Web-Anwendung werden dabei jedem Benutzer neben seinem originalen Passwort auch sogenannte Honeywords zugeordnet. Diese sind ebenfalls als gesalzene Hashes gespeichert und daher nicht vom originalen Passwort unterscheidbar.

Gibt ein Hacker dann ein gestohlenes Honeyword beim Login ein, erkennt die Webanwendung, dass es sich um einen Hacker handeln muss. Denn der Kontoinhaber kennt die Honeywords im Gegensatz zum Hacker nicht. In einem solchen Fall kann die Anwendung das Konto sperren, Alarm auslösen oder den Hacker auf ein Honeypot-System lenken, wo er keinen Schaden anrichten kann.

Zwei Server nötig

Zwei Haken gibt es aber. Zum einen muss die Information darüber, bei welchem der Hashes es sich um das richtige Passwort handelt, auf einem anderen Server als die Hashes selbst gespeichert werden.

Dafür sehen die beiden Forscher ein sicheres, abgeschottetes System vor, das bei Login-Versuchen über einen verschlüsselten Kanal informiert wird, welches der Hashes eingestetzt wurde. Dieser sogenante Honeychecker kennt nur die Position des tatsächlichen Passworts in der Datenbank, nicht aber das Passwort oder die Honeywords selbst.

Zum anderen könnten die Glückspilze unter den Hackern auch das richtige Passwort aus den Hashes auswählen.