Sicherheitsexperten legen im Kampf gegen Hacker gerne Honeypots aus. Darunter versteht man ein Tool, welches einen Rechner oder einen Dienst simuliert, der den Hacker zum Angriff verleiten soll. Fällt der Angreifer auf den Trick herein, liefert er dem Fallenleger wertvolle Hinweise zu Schwachstellen und vielleicht sogar zum Hacker selbst. Weil es nur eine Simulation ist, kann der Hacker keinen Schaden anrichten. Ein neues Konzept sieht den Kampf gegen Passwort-Diebe vor und nennt sich in Anlehnung an die Honeypots schlicht “Honeywords”.
So locken Honeywords Hacker in die Falle
Der Webseiten- oder Dienst-Betreiber speichert zusätzlich zu jedem richtigen Passwort seiner User auch ein ausgedachtes Passwort – das Honeyword – in seiner Datenbank ab. Dringt ein Hacker in die Datenbank ein, weiß er nicht, welche Passwörter die richtigen sind. Er wird alle oder zufällig Ausgewählte verwenden. Sobald er ein Honeyword verwendet, klingeln beim Datenbankbetreiber die Alarmglocken und der Account des Honeywords wird automatisch deaktiviert. Denn weil die User “ihr” Honeyword nicht kennen, muss sich jemand Zugang zur Datenbank verschafft haben.
Gegenüber unseren Kollegen von der PC World gab Ross Barrett, Senior Manager of Security Enigneering von Rapid7, an, dass im Durchschnitt sechs Monate verstreichen, bis man einen Datenbank-Einbruch bemerkt. Dank der Honeywords könnte diese Zeit auf ein Minimum verkürzt werden. Die Seitenbetreiber könnten schnell reagieren und das Schlimmste verhindern.
Probleme der Honeyword-Taktik
Doch gibt es auch ein mögliches Problem. Wenn ein Hacker weiß, dass Honeywords im Spiel sind, könnte er diese für DoS-Attacken einsetzen. Wenn bei jeder Honeyword-Eingabe der Account dazu automatisch deaktiviert wird, könnten Server bei großen Datenmengen in die Knie gehen – sofern der Hacker viele auf einmal eingibt. Voraussetzung für den Gebrauch von Honeywords: Der Admin muss die Information, welches Passwort das richtige ist, auf einem separaten Server speichern, separat gesichert. Ein sicheres Passwort kann die Honeyword-Taktik sowieso nicht ersetzen. Sie schützt lediglich – in Grenzen – vor Hacker-Angriffen auf die Datenbanken der Betreiber. Gezielten Attacken auf einzelne User hat sie nichts entgegenzusetzen. Eine Revolution sind Honeywords also nicht. Aber vielleicht eine clevere Ergänzung im Anti-Hacker-Schutz.
Autor: Benjamin Schischka
Seit 2008 Teil der Redaktion. Schreibt am liebsten über Smartphones, Social Media, Sicherheit & Spiele.