Foute wachtwoorden beschermen uitstekend
Wachtwoordmanagers, zoals 1Password, KeePass of LastPass, zijn een aantrekkelijke hulpje om flinke verzamelingen ingewikkelde wachtwoorden te verbergen achter één masterpasword. Doordat het ze de gebruiker ontheffen van het onthouden en overtikken van wachtwoorden, bevorderen ze het gebruik van ingewikkelde en unieke wachtwoorden.
Shutterstock
Shutterstock
Maar ze hebben één enorm nadeel: als een hacker eenmaal het masterbestand in handen heeft, dan kan hij met een computer domweg alle miljarden denkbare masterwachtwoorden er op uitproberen. Het neemt misschien een paar weken, maar met een moderne computer zal zo'n 'brute force' hack uiteindelijk slagen. En dan heeft de hacker toegang tot alle sites van de gebruiker en kan het grote plunderen gaan beginnen.
Foute wachtwoorden serveren
Een afstudeerder van de Universiteit van Wisconsin, Rahul Chatterjee, heeft een opmerkelijk simpele oplossing voor die zwakte gevonden: niet melden dat het ingevoerde wachtwoord fout is, en in plaats daarvan de passwordmanager open laten gaan met aannemelijk ogende maar ondertussen wel foutieve wachtwoorden. Door dat te doen kan het bruteforce-algoritme niet meer vaststellen of het al dan niet klaar is en zal de hacker de aangetroffen login-gegevens moeten toetsen door ze daadwerkelijk uit te proberen op accounts van de te bestelen eindgebruiker. Dat wordt kostbaar en gaat, zelfs als hij het automatiseert, duizenden malen meer tijd nemen dan het normale bruteforce-procedé.
Chatterjee presenteerde zijn vondst afgelopen dinsdag op het IEEE Symposium on Security and Privacy in San Jose.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee