扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
ZDNET安全频道 02月01日 国际新闻:前RSA首席科学家Ari Juels提出一个巧妙的方式欺哄黑客:制造假象让黑客觉得自己攻破了一个系统,并提供一些假数据给他们玩。
这个想法不完全是新的, Juels去年曽经和RSA创始人Ronald Rivest合作在一篇文章里提出过一个名为“Honeywords”方案。 Honeywords的基本思想是靠“隐晦达到安全”,但是用了一个不错的方法:攻击者窃取了一个密码表,表里有用户的密码;但是,表里除了有用户的真正密码以外,每个用户在表里还有一些假密码,这些假密码就是所谓的“Honeywords”(蜂蜜字)。
Honeywords一方面可以为系统制造一些烟雾迷惑攻击者,另一方面,还可以根据Honeywords的登陆使用情况为系统设置警报,原因是Honeywords的使用明确表明有人访问密码表。
Juels与美国威斯康星大学的Thomas Ristenpart合作提出新的“蜂蜜加密”法。新的蜂蜜加密法在蜂蜜字的基础上多走了一步,得到一个更精炼的系统。原来的蜂蜜字系统仅限于记录非授权访问,非授权访问最终会以登录失败告终。新的蜂蜜加密法却会为攻击者提供类似于真数据的假数据。
一如《麻省理工学院评论》(MIT Review)所指,即便是攻击者碰巧得到了正确的用户名/密码组合,“真数据也会被埋没在一大堆假数据里”。
例如,10000个读取信用卡号码的尝试会产生10000个以假乱真的假卡号,攻击者需要花功夫测试假卡号的有效性。更妙的是:如果一个攻击者尝试访问系统的密码存储,每个相对于主密码来说的失败尝试都会产生假数据。
麻省理工学院评论》指,Juels现已处于写代码阶段,目的是实现基于蜂蜜加密法的假密码库生成器。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者