Защитная система при вводе неверного пароля дает ложный доступ к электронному сейфу

09:08 13.05.2015

|   952 прочтения



В этом случае задача взломщика сильно усложняется, так как ему приходится проверять, подходят ли полученные пароли к сайтам, а многие из них ограничивают количество попыток неверного ввода пароля.

 

Специалисты Университета Висконсина в Мэдисоне на предстоящем Симпозиуме IEEE по защите информации и приватности представят экспериментальную программную систему NoCrack, которая защищает менеджеры паролей от взлома, осуществляемого подбором мастер-пароля. При каждом вводе неверного мастер-пароля система будто бы предоставляет доступ к электронному сейфу, но не к реальному его содержимому, а к сгенерированному фальшивому. В этом случае задача взломщика сильно усложняется, так как ему приходится проверять, подходят ли полученные пароли к сайтам, а многие из них ограничивают количество попыток неверного ввода пароля.

NoCrack — не первая попытка создать подобную систему. Существует похожая под названием Kamouflage, но разработчики NoCrack, по их словам, нашли у конкурентов уязвимость, обнаружив, что содержимое генерируемых системой фальшивых сейфов зависит от мастер-пароля и позволяет его выяснить. В NoCrack такой зависимости нет. Если легитимный пользователь введет неверный пароль, разработчики предполагают применять либо автокоррекцию незначительных ошибок, либо показ изображения, привязанного к хэшу мастер-пароля, — пользователь будет знать верное изображение, атакующий нет.


Теги: