科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全前RSA首席科学家提出把数据交给黑客

前RSA首席科学家提出把数据交给黑客

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

只是不要交真的数据,给点假货打发他们走,前RSA首席科学家Ari Juels提出一个巧妙的方式欺哄黑客:制造假象让黑客觉得自己攻破了一个系统,并提供一些假数据给他们玩。

来源:ZDNet安全频道 2014年2月1日

关键字: RSA 黑客

  • 评论
  • 分享微博
  • 分享邮件

ZDNET安全频道 02月01日 国际新闻:前RSA首席科学家Ari Juels提出一个巧妙的方式欺哄黑客:制造假象让黑客觉得自己攻破了一个系统,并提供一些假数据给他们玩。

前RSA首席科学家提出把数据交给黑客

这个想法不完全是新的, Juels去年曽经和RSA创始人Ronald Rivest合作在一篇文章里提出过一个名为“Honeywords”方案。 Honeywords的基本思想是靠“隐晦达到安全”,但是用了一个不错的方法:攻击者窃取了一个密码表,表里有用户的密码;但是,表里除了有用户的真正密码以外,每个用户在表里还有一些假密码,这些假密码就是所谓的“Honeywords”(蜂蜜字)。

Honeywords一方面可以为系统制造一些烟雾迷惑攻击者,另一方面,还可以根据Honeywords的登陆使用情况为系统设置警报,原因是Honeywords的使用明确表明有人访问密码表。 

Juels与美国威斯康星大学的Thomas Ristenpart合作提出新的“蜂蜜加密”法。新的蜂蜜加密法在蜂蜜字的基础上多走了一步,得到一个更精炼的系统。原来的蜂蜜字系统仅限于记录非授权访问,非授权访问最终会以登录失败告终。新的蜂蜜加密法却会为攻击者提供类似于真数据的假数据。

一如《麻省理工学院评论》(MIT Review)所指,即便是攻击者碰巧得到了正确的用户名/密码组合,“真数据也会被埋没在一大堆假数据里”。

例如,10000个读取信用卡号码的尝试会产生10000个以假乱真的假卡号,攻击者需要花功夫测试假卡号的有效性。更妙的是:如果一个攻击者尝试访问系统的密码存储,每个相对于主密码来说的失败尝试都会产生假数据。

麻省理工学院评论》指,Juels现已处于写代码阶段,目的是实现基于蜂蜜加密法的假密码库生成器。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章