Artikel top billede

Sådan kan du afsløre hackere med smart metode

Ny metode gør det nemt at afsløre hackere, der forsøger at stjæle dine passwords.

Det sker jævnligt, at webbrugere får deres adgangskoder kompromitteret, men det kan med en relativ nem metode lade sig gøre at forstyrre password-hackere, mener udviklere.

De foreslår, at man garnerer et websites password-database med massevis af falske passwords - de såkaldte honeywords.

Passwords i password-databaser er typisk 'hashed' for at skjule deres indhold.

"Hvis en indtrængende stjæler en fil med 'hashede' password, og så fjerner hashingen, kan han umuligt afgøre, om han står med det rigtige password eller et 'honeyword,' lyder det fra de to udviklere, professor Ronald L. Rivets fra MIT og Ari Juels fra RSA Labs.

De foreslår, at det skal udløse en alarm, hvis man forsøger at logge ind med et 'honeyword,' så hackeren dermed går i fælden.

System kan afsløre

For at systemet skal virke, skal en password-database, der er garneret med honeywords, kobles på en server, der er dedikeret til at adskille valide passwords og honeywords.

Serveren skal sende besked til en administrator, hvis den opdager, at nogen forsøge at logge ind med et honeyword.

De to udviklere peger på, at anvendelsen af honeywords ikke vil forhindre hackerne i at bryde ind ved hjælp af stjålne passwords, men alene sikre, at en administrator får besked, hvis der er noget lusket på færde.

Sikkerhedsmanden Ross Barret siger til amerikanske PC World, at det i dag typisk tager meget lang tid - helt op til et halvt år - før et sikkerhedshul eller et kompromitteret passwords bliver opdaget.

De to udviklere anbefaler, at serveren, der skal opdage indtastninger af de falske passwords, bliver placeret adskilt fra det system, der kører websitet, ligesom de to systemer bør køre på forskellige typer styresystemer og med forskellige administrative domæner.

Du kan læse mere om metoden i de to forskeres rapport: 'Honeywords: Making passord-cracking detectable.'




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
JN Data A/S
Driver og udvikler it-systemer for finanssektoren.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Strategisk IT-sikkerhedsdag 2022 - identificer, beskyt og forsvar

IT-sikkerhedstruslerne mod virksomhederne er i takt med tiden blevet større og værre, fordi virksomhederne er mere end nogensinde før afhængige af data og IT. Det stiller krav til de IT-ansvarlige, der konstant skal tage bestik af det skiftende trusselniveau. Det kræver blandt andet, at it-sikkerhed bliver sat på den strategiske dagsorden i virksomhederne – men hvordan?

25. januar 2022 | Læs mere


Hjemmearbejdets påvirkning på trivsel, helbred og arbejdsmiljø

Fremtidens arbejdsplads er hybrid, det er der ingen tvivl om. Men hvad fører det egentlig med sig? Og hvordan omstiller du og din arbejdsplads sig til det? Det kan du blive klogere på, på denne digitale konference.

02. februar 2022 | Læs mere


GDPR - persondatabeskyttelse i praksis

Håndteringen af persondata og GDPR er for længst blevet hverdag hos de danske organisationer, men derfor er det til stadighed vigtigt og altafgørende, at den løbende overholdelse af GDPR er på plads. Vær med og hør, hvordan du ved hjælp af processuelle greb, værktøjer og systemer kan sikre dette.

08. februar 2022 | Læs mere