Sicherheitstechnologie

Hacker mit "ErsatzPasswords" austricksen

von - 02.06.2015
Hacker erbeutet Passwort
Foto: Shutterstock - GlebStock
Forscher haben eine neue Sicherheitstechnologie zum Schutz von Passwörtern entwickelt. Das Open-Source-Projekt trägt den Namen "ErsatzPasswords" und trickst Angreifer mit gefälschten Kennwörtern aus.
Open-Source-Technologie übertölpelt Hacker: Ein Forscherteam der US-amerikanischen Purdue University hat mit "ErsatzPasswords" eine neue Methode zum Schutz von Kennwörtern entwickelt. Die Sicherheitstechnologie trickst Hacker mit gefälschten Passwörtern aus und alarmiert Admins über den Angriffsversuch. Die komplette Untersuchung der Forscher steht kostenlos als PDF-Datei zum Download bereit.

So funktioniert ErsatzPasswords

Passwörter werden in der Regel verschlüsselt auf dem System hinterlegt. Gelingt es einem Angreifer, diese verschlüsselten Datensätze (Hash) zu erbeuten, kann er diese über Brute-Force-Methoden wieder entschlüsseln. Dabei erstellt der Angreifer mit speziellen Tools Passworte, verschlüsselt diese über die gängigsten Verfahren und vergleicht anschließend die Hash-Werte mit dem erbeuteten Datensatz - sobald eine Übereinstimmung gefunden wurde, ist das Passwort geknackt. Dies ist zwar aufwendig, aber nicht unmöglich.
ErsatzPasswords
ErsatzPasswords: Die Technologie fügt der Verschlüsselung eine weitere Sicherheitsebene auf Hardware-Basis hinzu, ohne die Passwörter nicht mehr zu entschlüsseln sind.
(Quelle: Mohammed Almeshekah)
ErsatzPasswords fügt der Verschlüsselung eine weitere Hardware-spezifische Sicherheitsebene hinzu, die zur Entschlüsselung erforderlich ist. Entsprechend sind über ErsatzPasswords gesicherte Kennwörter nur noch auf dem lokalen System zu entschlüsseln. Die Hash-Werte sind ohne Zugriff auf das eingesetzte Hardware-Security-Modul nutzlos und beherbergen lediglich falsche Passwörter.
Ist ErsatzPasswords zudem in Login-Verfahren von Web-Services integriert, schlägt der Dienst auf Wunsch Alarm, sobald ein gefälschtes Passwort verwendet wird. Admins haben dadurch die Möglichkeit, den Angreifern auf die Spur zu kommen.
Der Quellcode des Tools ist frei über GitHub zugänglich. Für den Einsatz ist außerdem ein Hardware-Security-Modul erforderlich wie etwa das YubiHSM von Yubic.
Verwandte Themen