Honeywords(翻译)分析.docxVIP

Honeywords : Making Password-Cracking Detectable 作者：Ari Juels，RSA实验室；Ronald L. Rivest，MIT CSAIL。 摘要： 我们提出一个提高散列密码的简单方法：为每一个账号关联额外的“honeywords”（伪密码）。一个盗取了散列密码文件并反转了散列函数的攻击者不能区分密码和honeyword。试图使用honeyword登录会触发一个警报。一个辅助的服务器（honeychecker）可以在登录环节识别密码和honeyword，并且当honeyword试图登录时它可以发出警报。 关键字： 密码、密码散列、密码破解、honeywords、伪密码、登录、认证 介绍 众所周知，密码是一种较弱的认证机制。用户通常会选择较为简单的密码。一个盗取了密码散列文件的攻击者往往可以通过暴力破解的方式获取到用户的密码p，它的散列值H(p)等于密码散列文件中存放的值，从而攻击者就可以冒充用户登录。 Mandiant最近的一个报道阐述了在当前的环境威胁下散列密码破解的重要意义。密码破解是仪器化的，例如，在最近的一个反对纽约时报的网络间谍活动中。在过去的时间里可以看到很多备受关注的用户密码文件的泄露事件。Evernote的5000万用户密码暴露，同时这些用户还是Yahoo, LinkedIn,以及eHarmony等的用户。 一种解决当前状况的方法是使密码散列变得更加复杂和耗时。这其实就是“Password Hashing Competition”背后所代表的方法。这个方法是有效的，但是同时它也减慢了合法用户的认证进程，并且我们也不能容易的检测到密码破解。 有时系统管理员会设置一些虚假账号（叫做honeypot accounts），一个盗取了用户密码散列文件的攻击者使用这些账号进行登录时便会激发一个警报，系统便会检查到密码破解。由于这些账户并不是真正合法的用户，所以攻击者的试图登录便会被检测到。然而，攻击者可能会区分真实密码和诱捕密码，从而避免被检测到。 我们推荐的方法是将诱捕数据扩充到每一个账号（包括合法的用户），通过让每个账户拥有多个可能的密码，但其中只有一个是真正的密码，其他的就被叫做honeywords。一个honeyword的试图登录就会被检测为敌对攻击，同时发出警报。 这种方法并不特别深，但是却是非常有效的，因为它使得一个使用通过盗取密码散列文件并暴力破解而获取到的用户密码的每一次登录都面临着被检测到的风险。 因此，honeyword提供了一种有效的层次防御。 在其他文献中也出现过一些相似的理念。我们所知道的与本论文最相关的一项研究是Bojinov等人的Kamouflage系统。我们认为，honeyword最早是出现那项研究中。另外一个和我们的研究非常相近的是一个叫虚假密码文件的系统设计（honeyfiles），它们监视所有被认为是信号入侵的密码提交。最后，一项由Rao申请的专利描述了对系统每一个账户设计一些叫做“failwords”的诱捕密码，通过这些诱捕密码使得攻击者认为他已经登录成功，但实际上却被检测到了。我们会在本文第8节给出相关工作的概述。 总之，我们的期望是通过这篇文章能够鼓励大家更多的使用honeyword。 技术描述 我们假定一个拥有n个用户u1,u2,…,un的电脑系统，这里的ui是指第i个用户的用户名。所谓的电脑系统（或者简称为系统）指的是用户提供了正确的用户名和密码之后就能够登录的系统；这就包含了多用户电脑系统，网站，智能手机，应用程序等等。 我们用pi来表示用户ui的密码。这个指的是正确的、合法的用户密码；是用户用来登录系统的密码。 在当前的实验中，系统使用了一个加密的散列函数H并且存储用户密码的散列值而不是原生的密码。也就是说，系统维护着一个由用户名/密码散列值键值对组成的文件F，也就是（ui,H(pi)），其中i取值1到n。在Unix系统中，这个F文件可能存放在/etc/passwd或者/etc/shadow目录中。 因为系统存储密码的散列值而不是原生的密码，所以当攻击者获取到F文件后并不能直接获取到用户密码；他需要反转散列函数从而获得用户真正的密码。 散列函数H的计算可以（应该）包含特定系统或者特定用户的一些参数（salts）；这些细节在本文不做详细介绍。当一个用户尝试登录系统时，登录操作就会根据用户提供的密码散列后到F文件中去查找。 2.1：攻击情景 对于密码的攻击情景有很多，大致可以分为以下6项： 密码散列文件被偷取：一个攻击者通过特定的方法偷取到了密码散列文件，并且通过在线暴力计算的方式获取到一些真实密码。通常攻击者会盗取多个系统上的密码散列文件或者在不同的时期盗取同一系统上的密码散列文件。 容易猜到的密码：用户所选的密码