Veel gebruikers kiezen vaak gemakkelijk te onthouden en daardoor zwakke wachtwoorden om in te loggen op websites die simpel te kraken zijn door hackers. Het systeem met ‘honeywords’ of honingwoorden zou websites op een eenvoudige manier beter kunnen beveiligen.
© Disney (© ; licentie: )
Het voorstel om met zogenaamde ‘honeyword’-wachtwoorden te werken voor het beveiligen van databases bouwt verder op het al bestaande ‘honeypot’-systeem. De ‘honingpotten’ zijn computersystemen die zich bewust kwetsbaar opstelt voor (worm)virussen en andere aanvallen om zo informatie te verzamelen over de malware en de gegevens van de hackers te achterhalen.
Om het ‘honeyword’-systeem te gebruiken stellen de onderzoekers voor dat websites voor elke gebruiker 20 geëncrypteerde wachtwoorden opslaan waarvan er slechts één geldig is.
Een ‘honeychecker’ in de vorm van een aparte, sterk beveiligde server controleert of een wachtwoord het echte is of een van de ‘honeywords’. Als bij inlogpogingen een van de 19 valse ‘honeywords’ wordt gebruikt, wordt dit onmiddellijk gemeld. Hackers worden op die manier bij elke poging tot login gedetecteerd.
Er is ook al wat kritiek op het voorstel. Hackers zouden honingwoorden eventueel kunnen misbruiken om een systeem plat te leggen (‘denial of service’-aanval) door snel achter elkaar meerdere valse wachtwoorden in te geven.
Het nieuwe beveiligingssysteem werd ontwikkeld door Ari Juels, onderzoeker bij RSA Labs en Ronald Rivest, onderzoeker aan het MIT en voorgesteld in de paper “Honeywords: Making Password-Cracking Detectable“.