前RSA首席科学家提出把数据交给黑客

ZDNET安全频道 02月01日 国际新闻：前RSA首席科学家Ari Juels提出一个巧妙的方式欺哄黑客：制造假象让黑客觉得自己攻破了一个系统，并提供一些假数据给他们玩。

这个想法不完全是新的， Juels去年曽经和RSA创始人Ronald Rivest合作在一篇文章里提出过一个名为“Honeywords”方案。 Honeywords的基本思想是靠“隐晦达到安全”，但是用了一个不错的方法：攻击者窃取了一个密码表，表里有用户的密码；但是，表里除了有用户的真正密码以外，每个用户在表里还有一些假密码，这些假密码就是所谓的“Honeywords”（蜂蜜字）。

Honeywords一方面可以为系统制造一些烟雾迷惑攻击者，另一方面，还可以根据Honeywords的登陆使用情况为系统设置警报，原因是Honeywords的使用明确表明有人访问密码表。 

Juels与美国威斯康星大学的Thomas Ristenpart合作提出新的“蜂蜜加密”法。新的蜂蜜加密法在蜂蜜字的基础上多走了一步，得到一个更精炼的系统。原来的蜂蜜字系统仅限于记录非授权访问，非授权访问最终会以登录失败告终。新的蜂蜜加密法却会为攻击者提供类似于真数据的假数据。

一如《麻省理工学院评论》（MIT Review）所指，即便是攻击者碰巧得到了正确的用户名/密码组合，“真数据也会被埋没在一大堆假数据里”。

例如，10000个读取信用卡号码的尝试会产生10000个以假乱真的假卡号，攻击者需要花功夫测试假卡号的有效性。更妙的是：如果一个攻击者尝试访问系统的密码存储，每个相对于主密码来说的失败尝试都会产生假数据。

麻省理工学院评论》指，Juels现已处于写代码阶段，目的是实现基于蜂蜜加密法的假密码库生成器。