ErsatzPasswords gibt Hackern falsche Passwörter

ErsatzPasswords soll es Hackern erschweren, Passwörter zu knacken. Das könnte sich besonders bei Datensicherheitsverletzungen als nützlich erweisen, bei denen Cyberkriminelle Zugang zu vielen gehashten Passwörtern aus den Sicherheitslücken erhalten.

Da Passwörter normalerweise verschlüsselt sind (ein Klartext-Passwort zu speichern, wäre ein enormes Sicherheitsrisiko!), müssen Hacker sie irgendwie entschlüsseln. Eine gängige Methode ist der Brute-Force-Angriff, bei dem man immer wieder versucht, das Passwort zu erraten und jede Variante mit dem verfügbaren kryptografischen Hash abgleicht. Normale Desktop-Rechner können mit Tools zum Knacken von Passwörtern wie John the Ripper über 100 Millionen Passwörter pro Sekunde prüfen. Und hier kommt ErsatzPasswords ins Spiel:

„[…] wenn ein Angreifer die gehashte Passwort-Datei exfiltriert und versucht sie zu knacken, bekommt er nur die Ersatzpasswörter. Wenn ein versuchter Login mit diesen falschen Passwörtern erkannt wird, löst dies einen Alarm im System aus, der angibt, dass jemand versucht hat, die Passwort-Datei zu knacken“, sagt Mohammed H. Almeshekah, einer der Autoren des Forschungsberichts. „Selbst bei einem Gegner, der das Schema kennt, kann das Knacken der Passwörter nicht ohne tatsächlichen Zugriff auf den Authentifizierungsserver beginnen.“

Klingt ziemlich cool und sehr sicher, oder? Wenn Sie mehr über die Idee erfahren möchten, die hinter ErsatzPasswords steckt, sehen Sie sich doch den Forschungsbericht oder direkt den Code an.

Dieser Artikel ist auch verfügbar in: Englisch

PR & Social Media Manager @ Avira |Gamer. Geek. Tech addict.