保护口令的最好方式也许是制造假口令

龙 宇 2016-7-28 最新资讯 0 0

        保护口令的最好方式也许是制造假口令 

  然而,一组研究人员已经开发出了一种密码管理软件,如果用户输入了错误的主密码,它会显示一个诱饵密码库。

  这一软件名为NoCrack,其设计目的是让黑客发现自己攻击失败时更加困难、耗费更多的时间。

  作为攻击者,你不知道哪个密码库才是真的。攻击者没有其它选择,只有在网站上对密码进行试错。”

  密码管理软件的一大问题是,这类软件会把所有密码存在一个加密文件里。如果攻击者从受害者的电脑上偷走这个文件,就可以使用它进行暴力破解攻击。在暴力破解攻击中,攻击者会连续尝试成千上百的密码。

  如果键入了错误的密码,攻击者很容易发现它是错的。生成的文件是垃圾,因此攻击者不会通过在线网站服务对密码进行试错。对每一次错误的尝试,NoCrack都会生成一份看上去合理的密码库,诱饵的上限是无穷无尽的。确认这些登录信息是否正确的唯一方式就是在网站上一个一个地试。

  这种方法“昂贵且缓慢”。

  由于大多数在线服务都会限制猜测密码的次数,攻击者不会得到很多发现真相的机会。

  NoCrack并不是第一个在此领域作出尝试的软件。另一个被称为Kamouflage的软件与其类似。不过,NoCrack的设计者表示Kamouflage在生成主密钥诱饵方面存在缺陷。

  Kamouflage的诱饵主密钥是基于真实版本生成的。通过研究诱饵主密钥,攻击者可以了解到真实的主密钥的结构,进而发现它们。NoCrack团队在这方面做得更好。

  NoCrack使用了自然语言编码(NLE)算法,具有讽刺意味的是,该方法也被用在密码破解应用上。根据论文中的描述,NLE算法会对比特串进行编码,得出自然语言中的文本,即使输入相同,每次得到的输出也会不同。

  研究者发现,如果攻击者使用基于简单机器学习的工具,试图从诱饵密钥中猜出真实密钥,NLE会阻止这种类型的攻击。

  不过还有一个巨大的问题:如果用户错拼了密码怎么办?在这种情景下,软件也会生成一份诱饵密钥库,用户没办法访问自己的账户。

  NoCrack团队表示正在研究解决方案。一个可行的策略是:创建主密钥的哈希值,并将其链接到一张输入密码时会显示的图片上。合法用户在碰到错误图片时会意识到问题,攻击者则不会。另一个策略是,如果密码只是稍微偏离正确版本,就对它进行自动矫正。

  NoCrack还没有商业化计划。

原文地址:https://www.77169.com/news/HTML/20150530023641.shtm

转载请注明来自华盟网,本文标题:《保护口令的最好方式也许是制造假口令》

喜欢 (0) 发布评论