パスワードが毎日侵害される消費者が増える中、2人の研究者が、デジタル認証情報のクラッカーを阻止するのに役立つと主張するアイデアを提案している。
彼らは、ウェブサイトのパスワードデータベースに「ハニーワード」と呼ばれる偽のパスワードを大量に追加することを提案しています。パスワードデータベース内のパスワードは通常、機密性を保護するために「ハッシュ化」またはスクランブル化されています。
「ハッシュ化されたパスワードのファイルを盗み、ハッシュ関数を反転させた攻撃者は、見つけたのがパスワードなのか、ハニーワードなのかを判別できない」と、RSAラボのアリ・ジュールズ氏とMITのロナルド・L・リベスト教授は、先週発表された「ハニーワード:パスワードクラッキングを検出可能にする」と題する論文に記している。
「ログインにハニーワードを使おうとすると警報が鳴る」と付け加えた。
どのように機能するか
ハニーワードでソルト処理されたパスワードデータベースを、有効なパスワードとハニーワードを区別することに特化したサーバーに接続します。ハニーワードがアカウントへのログインに使用されていることを検出すると、サイト管理者に警告が送られ、アカウントがロックされます。
ハニーワードを使用しても、ハッカーが Web サイトに侵入してパスワードを盗むことを防ぐことはできませんが、侵入が発生した可能性があることを Web サイトの運営者に警告することができます。
「これは非常に価値のあることだ」と、Rapid7 のセキュリティ エンジニアリング担当シニア マネージャー、ロス バレット氏は PCWorld に語った。特に、こうした侵害の多くを発見するのにどれだけの時間がかかっているかを考えると、それは価値があることだ。
「侵害の検出にかかる平均時間は6か月です」と彼は述べ、「これは昨年より増加しています」。
しかし、ハッカーがサイトがハニーワードを使用しており、ハニーワードが使用されるとアカウントが自動的にロックダウンされることを知っていた場合、ハニーワードは実際にサイトに対してサービス拒否攻撃を行うために使用され得る。
この手法は、攻撃者に新たな標的、つまりハニーチェッカーを提供する可能性があります。ハニーチェッカーとウェブサイトサーバー間の通信が途絶えると、ウェブサイトがクラッシュする可能性があります。
しかし、たとえハニーチェッカーが危険にさらされたとしても、ウェブサイト運営者にとってはハニーワードがないよりはあったほうが有利だとバレット氏は主張した。
「ハニーチェッカーがなかったら、ハッカーがウェブサイトに侵入するのはおそらくずっと難しかっただろう」と彼は語った。
Juels と Rivest は論文の中で、HoneyChecker を Web サイトを実行しているコンピュータ システムから分離することを推奨しています。
「2つのシステムは異なる管理ドメインに配置され、異なるオペレーティングシステムを実行するなどする可能性があります」と彼らは書いています。
また、ハニーチェッカーはインターネットと直接接続しないように設計することも可能で、これによっても攻撃者がハッキングする能力は低下するとバレット氏は指摘した。
完全な解決策ではない
ハニーワードを使用しても、ハッカーがパスワードデータベースを盗み、その秘密を解読するのを防ぐことはできないと、ジュエルズ氏とリベスト氏は認めている。
「しかし」と研究者たちは論文の中で付け加えている。「ハニーワードを使用する場合の大きな違いは、ブルートフォース攻撃によるパスワード破りが成功しても、攻撃者は気付かれずにログインできるという自信を持てないという点だ。」
「ハニーチェッカーを使用すると、攻撃者は、パスワードハッシュの侵害が検出される可能性の高いログインのリスクを負うか、ハニーチェッカーの侵害も試みるかのいずれかを迫られることになる」と著者らは述べている。
研究者たちは、ハニーワードは、パスワードや「知っていること」による認証全般に共通する既知の問題を多く抱えているため、ネット上のユーザー認証に完全に満足のいく解決策ではないと認めている。
「最終的には、パスワードはより強力で便利な認証方法で補完されるべきであり、あるいは、より優れた認証方法に完全に取って代わられるべきである」と彼らは書いている。
