数据库防范新招:用“蜜罐加密”返回可以假乱真的结果
近年来,几乎每隔几周就有"某某公司的服务器被黑客入侵"之类的大事冒出来。比如去年11月,Adobe公司的安全漏洞就造成了多达1.5亿用户可能受到影响。有鉴于此,两名安全研究人员便想到了一个法子——尝试用这些数据转储(data dumps)来阻止下一个攻击者。据《麻省理工学院技术评论》报道,这个聪明的新方法,被称作"蜜罐加密"(Honey Encryption)。
有了"蜜罐加密"(Honey Encryption),当黑客尝试揭秘一个安全数据库的时候,就会不知道自己是否猜对了加密密钥。而在通常的情况下,如果攻击者猜错了一个,就会得到一片乱码作为反馈。
但是Honey Encryption却引入了更戏谑的方式——当攻击者猜错了之后,系统会返回一个虚假的、但是看起来像真的数据库——只是部分基于旧有安全漏洞的部分数据库转储。
安全研究人员Ari Juels和Thomas Ristenpart联手开发了Honey Encryption。他们认为,"在保证计算机基础安全方面,诱捕和欺骗工具暂未经过充分开发"。
眼下,Juels用Honey Encryption为密码管理创建了一个虚假密码生成器。而为了打造这个虚假密码生成器,Juels用到了收藏自此前其它服务的旧有安全漏洞的Password Managers。
当然,尽管Password Managers对于创建复杂和独特的密码相当有用,然而,现实中的人们通常不会采用太复杂的密码——因为他们自己还要经常输入呢(这也是弱密码横行、黑客总能得逞的主要原因)。
[编译自:BGR , 来源:MIT Technology Review]
有了"蜜罐加密"(Honey Encryption),当黑客尝试揭秘一个安全数据库的时候,就会不知道自己是否猜对了加密密钥。而在通常的情况下,如果攻击者猜错了一个,就会得到一片乱码作为反馈。
但是Honey Encryption却引入了更戏谑的方式——当攻击者猜错了之后,系统会返回一个虚假的、但是看起来像真的数据库——只是部分基于旧有安全漏洞的部分数据库转储。
安全研究人员Ari Juels和Thomas Ristenpart联手开发了Honey Encryption。他们认为,"在保证计算机基础安全方面,诱捕和欺骗工具暂未经过充分开发"。
眼下,Juels用Honey Encryption为密码管理创建了一个虚假密码生成器。而为了打造这个虚假密码生成器,Juels用到了收藏自此前其它服务的旧有安全漏洞的Password Managers。
当然,尽管Password Managers对于创建复杂和独特的密码相当有用,然而,现实中的人们通常不会采用太复杂的密码——因为他们自己还要经常输入呢(这也是弱密码横行、黑客总能得逞的主要原因)。
[编译自:BGR , 来源:MIT Technology Review]
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:http://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
邮箱投递
关注网络尖刀微信公众号随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 31省份新增确诊15例:本土1例在云南 4851703
- 2 中方决定对冰岛有关人员实施制裁 4681893
- 3 第一次见菅义伟 拜登戴了两只口罩 4518027
- 4 蔡英文要引进日本核废水? 4359896
- 5 五一火车票今起开抢 4207299
- 6 美国破坏国际规则事例合集 4060044
- 7 商业街改造门头黑底白字被指不吉利 3917942
- 8 美日联合声明提台湾 系52年来首次 3780814
- 9 迪丽热巴 我一定要演渣男 3648486
- 10 水利设施投5700万元3年不通电 3520789
